Den medvetna kollegan – del 1. Vad behöver min personal veta om dataskydd?

Alva Jofred 28 juni, 2023

Introduktion

Det här behöver din personal veta om dataskydd

Det här är första delen av en artikelserie i tre delar som kretsar kring vad dina kollegor behöver veta om dataskydd, informationssäkerhet och cybersäkerhet. Seriens mål är att öka förståelsen för de tre olika områdena och därigenom öka säkerheten för data samt minska riskerna för incidenter.

Kunskap är nyckeln till compliance

Hej, du som har en ledande roll inom en verksamhet som hanterar personuppgifter. Är du mån om att din verksamhet ska respektera de mänskliga fri- och rättigheterna? Bra, för det är vad dataskyddsförordningen (GDPR) i grunden handlar om. Att ge ett skydd för individers rätt till privat- och familjeliv. Så det bör vara ett skäl så gott som något att vilja uppnå en hög efterlevnadsgrad av GDPR. Som en bisak kan jag också nämna att överträdelser av GDPR kan medföra att verksamheten åläggs att betala mycket höga sanktionsavgifter. För privata verksamheter kan sanktionsavgiftsbeloppen vara upp till 20 miljoner euro eller 4 % av den globala årsomsättningen. Med det sagt är min åsikt att rädslan för sanktionsavgifter inte bör vara en lika stor anledning att följa GDPR som strävan efter att respektera de mänskliga fri- och rättigheterna.

Hur som helst, vi går vidare. Är du, liksom många andra, något osäker på exakt hur ni rent praktiskt ska jobba mot GDPR-compliance? Inga problem. Jag har nämligen några tips som förhoppningsvis kan vara till din hjälp. Spoiler alert: Goda kunskaper hos din personal är nyckeln till framgång. Härmed kommer ett skepp lastat med de fem viktigaste sakerna som din personal behöver veta om dataskydd.

Centrala begrepp i GDPR

Majoriteten av din personal har sannolikt tillgång till personuppgifter, det vill säga sådan information som direkt eller indirekt kan kopplas till levande individer. Definitionen är bred och innefattar bland annat namn, personnummer och kontaktuppgifter. För att ge några exempel behandlar HR-avdelningen anställdas personuppgifter i anställningsavtal, löneunderlag med mera. Marknadsavdelningen behandlar antagligen kunders och potentiella kunders personuppgifter via sociala medier och mejl. Och med stor sannolikhet har ni en eller flera personer som ansvarar för att teckna avtal med leverantörer, vilka i många fall får åtkomst till personuppgifter. Summa summarum hanterar din personal med högsta sannolikhet stora mängder personuppgifter.

En förutsättning för att din verksamhet ska uppnå GDPR-compliance är att personalen följer förordningens krav när de behandlar personuppgifter. Det är även viktigt att personalen rapporterar till dig när de exempelvis önskar anlita en ny leverantör eller vill behandla personuppgifter på ett nytt eller förändrat sätt. Personalen har endast möjlighet att göra detta på ett korrekt sätt om de har en förståelse för när de behandlar personuppgifter och vad det innebär i olika situationer. Några av de mest centrala begreppen i GDPR som din personal bör känna till är ”personuppgifter”, ”personuppgiftsbehandling”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” och ”de registrerade”.

Rättsliga grunder enligt GDPR

För att en personuppgiftsbehandling ska vara laglig måste den motiveras av en rättslig grund. I GDPR finns det sex rättsliga grunder; rättslig förpliktelse, avtal, intresseavvägning, samtycke, myndighetsutövning och uppgift av allmänt intresse samt grundläggande intresse. Det är av stor vikt att din personal känner sig trygga med vad de rättsliga grunderna innebär och när de kan användas. GDPR ställer nämligen krav på att ni som verksamhet ska motivera vilken rättslig grund ni väljer för era olika personuppgiftsbehandlingar, för att sedan informera de individer vars personuppgifter ni behandlar (”de registrerade”).

De som absolut måste ha koll på de rättsliga grunderna i GDPR är din verksamhets nyckelpersoner och de som fattar beslut om hur och varför ni ska behandla personuppgifter. Nämnda funktioners arbete underlättas dock enormt om all personal redan från början har koll på vad som krävs för att legitimera olika personuppgiftsbehandlingar. Med en hög grad av medvetenhet och kunskap hos personalen minskar risken för att ni av misstag skulle behandla personuppgifter på ett sätt som strider mot GDPR.

Grundläggande principer i GDPR

Förutom att personuppgifter måste behandlas utifrån en rättslig grund, finns det ett antal grundläggande principer som sätter ramarna för när en personuppgiftsbehandling ska anses vara tillåten. Det blir mycket enklare för din verksamhet att följa GDPR om all personal har de här grundläggande principerna i bakhuvudet när de behandlar personuppgifter.

De grundläggande principerna återfinns i GDPR och innebär bland annat att personuppgifter:

endast får behandlas i den utsträckning GDPR tillåter
bara får samlas in och sedermera sparas om det krävs för att uppnå specifika, särskilt angivna och berättigade ändamål
ska vara korrekta och uppdaterade
ska skyddas från till exempel förlust, förstöring och obehörig åtkomst
ska raderas när de inte längre behövs för att uppnå syftet med personuppgiftsbehandlingen.

Men det räcker inte med att ni följer principerna. I ljuset av den ansvarsskyldighet som din verksamhet har enligt GDPR, behöver ni också kunna visa att ni följer principerna och på vilket sätt ni gör det. Några exempel på hur ni kan göra det är att föra register över de personuppgifter som ni behandlar, bygga in dataskydd i era system (”privacy by design and default”) och genomföra konsekvensbedömningar avseende behandlingar som kan innebära särskilda integritetsrisker.

Din personal är ovärderliga pusselbitar det här arbetet. För det första blir det löpande dataskyddsarbetet betydligt mindre betungande om era personuppgiftsbehandlingar från start är förenliga med GDPR. För det andra kan all personal som har tillgång till personuppgifter kontinuerligt bidra med information om vilka personuppgiftsbehandlingar ni och eventuella leverantörer utför. För det tredje har GDPR-kunnig personal som löpande hanterar dataskyddsfrågor sannolikt god kännedom om vilka utmaningar verksamheten tampas med och vad det kan finnas för potentiella lösningar.

De registrerades rättigheter enligt GDPR

De personer som har delat sina uppgifter med er har ett antal rättigheter gentemot er som verksamhet. Eftersom de äger sina personuppgifter har de rätt att få information om vilka av dennes personuppgifter som ni behandlar och på vilket sätt (registerutdrag). De har också i vissa fall rätt att begära att personuppgifter rättas (rättelse), få sina uppgifter raderade (radering), kräva att behandlingen begränsas (begränsning), invända mot hur personuppgifterna behandlas (invändning), få ut och använda sina personuppgifter på annat håll (dataportabilitet) och att inte bli föremål för automatiserat beslutsfattande som kan få rättsliga följder eller annars i betydande mån påverka den registrerade. Med anledning av kraven i GDPR behöver ni ha rutiner för att hantera de rättighetsbegäranden som inkommer på rätt sätt och inom den legala tidsfristen, vilken i regel är en månad.

Rutiner är emellertid endast effektiva om de är kända och efterlevs. För att din verksamhet ska kunna följa GDPR:s regler om hur de registrerades rättigheter ska tillgodoses måste din personal ha vissa grundläggande kunskaper. Sammantaget behöver personalen kunna identifiera när det inkommer en rättighetsbegäran, vilken rättighet som individen vill utkräva och hur ärendet ska hanteras rent praktiskt. I vissa fall kan ni till exempel vara skyldiga att på begäran radera en viss personuppgift, medan det i andra situationer skulle vara ett lagbrott att genomföra raderingen. Om du ser till att din personal får grundläggande kunskaper om de registrerades rättigheter är chansen stor att de gedigna rutiner och policydokument som tas fram faktiskt – tro det eller ej – blir mer än bara pappersprodukter.

Personuppgiftsincidenter – orsaker och hanteringskrav enligt GDPR

Sist men inte minst rekommenderar jag dig att säkerställa att din personal får grundläggande kunskaper om personuppgiftsincidenter. För dig som (ännu) inte är så bevandrad i dataskyddsvärlden klistrar jag nedan in den definition av ”personuppgiftsincident” som anges i GDPR:

”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.”

I praktiken kan det exempelvis handla om att ett brev innehållandes personuppgifter skickas ut till fel person, eller att en verksamhet utsätts för ett angrepp där någon olovligen skaffar sig åtkomst till verksamhetens personuppgifter.

En intressant fråga i sammanhanget är varför det inträffar personuppgiftsincidenter. Om man tar fram förstoringsglaset finns det säkerligen lika många förklaringar som det finns personuppgiftsincidenter. På en mer övergripande nivå går det dock att urskilja ett mönster. År efter år utgör ”den mänskliga faktorn” den i särklass vanligaste anledningen till att incidenter inträffar. För att ta ett exempel ansågs ”den mänskliga faktorn” orsaka över hälften av de personuppgiftsincidenter som anmäldes till Integritetsskyddsmyndigheten (IMY) år 2022. Det framgår av IMY:s rapport 2023:2 om anmälda personuppgiftsincidenter 2022. Detta faktum bör fungera som en morot för din och alla andra verksamheter att utbilda personalen avseende hur personuppgiftsincidenter kan förebyggas.

När ni ändå håller på råder jag er att också informera personalen om hur personuppgiftsincidenter ska hanteras när de väl inträffar. För att verksamheten ska leva upp till kraven i GDPR behöver personalen tränas i att känna igen personuppgiftsincidenter och hur de ska agera. Därutöver bör det vara solklart för personalen vilken person eller grupp inom verksamheten som de ska rapportera personuppgiftsincidenter till. En välfungerande rapportering är särskilt betydelsefull mot bakgrund av att ni enligt GDPR ibland har en skyldighet att anmäla personuppgiftsincidenter till IMY respektive informera de registrerade. Och hur ska ni kunna göra det om ni inte får all nödvändig information från era medarbetare? Nej precis, det kan ni inte, det är omöjligt. GDPR-compliance kan endast uppnås om hela verksamheten tillsammans arbetar aktivt med dataskydd.

Avslutande ord

Har du orkat läsa ända hit? Vad glad jag blir! Det visar nämligen att du har ett intresse för att förbättra din verksamhets efterlevnad av GDPR. Som jag förklarade inledningsvis är ett av GDPR:s huvudsakliga syften att ge ett skydd för individers rätt till privat- och familjeliv. Och vad kan vara ett viktigare mål för din verksamhet än att respektera de mänskliga fri- och rättigheterna? Knappast någonting, är min förhoppning.

Mitt mål med den här artikeln har varit att dels ge dig motivation att verka för att din verksamhet ska jobba mot GDPR-compliance, dels ge dig praktiska tips avseende hur ni kan gå till väga när det handlar om att utbilda personalen. Mer specifikt har jag listat de fem viktigaste sakerna som din personal behöver veta om dataskydd; centrala begrepp, rättsliga grunder, grundläggande principer, de registrerades rättigheter och personuppgiftsincidenter.

Jag hoppas att du har haft nytta av informationen. Att du delar uppfattningen om att goda kunskaper hos personalen är nyckeln till framgång. Och att du känner dig inspirerad att ge din personal en utbildning i hur ni såsom verksamhet på bästa sätt kan tillgodose de mänskliga fri- och rättigheterna. Det vill säga efterleva kraven i GDPR och, som en positiv sidoeffekt, undvika sanktionsavgifter i mångmiljonklassen.

Om
Senaste inläggen

Alva Jofred

Dataskyddsjurist på Secify

Alva är utbildad jurist och arbetar med dataskyddsfrågor. Hon åtar sig uppdrag som dataskyddskonsult och dataskyddsombud hos alla typer av organisationer, men har ett särskilt intresse för hälso- och sjukvårdssektorn. Alva har flerårig erfarenhet av att arbeta hos vårdgivare, medtechbolag, apotek och andra verksamheter som träffas av den medicinrättsliga speciallagstiftning som kompletterar GDPR (t.ex. patientdatalagen, apoteksdatalagen och föreskrifter från Socialstyrelsen respektive Läkemedelsverket). Därigenom har hon förvärvat särskilda kunskaper om de säkerhetskrav och regler som gäller vid hantering av känsliga personuppgifter.

Senaste inläggen av Alva Jofred

Säker överföring av patientdata inom hälso- och sjukvården - 26 februari, 2024
Den medvetna kollegan – del 1. Vad behöver min personal veta om dataskydd? - 28 juni, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.