Guide till allmänna dataskyddsförordningen för grafiska företag

Transkript

1 HANTERA PERSONUPPGIFTER RÄTT Guide till allmänna dataskyddsförordningen för grafiska företag

2 ! Den 25 maj 2018 börjar EU:s nya dataskyddsförordning att gälla. Förordningen ersätter nuvarande Personuppgiftslagen (PUL) och ställer mycket högre krav på hur företag hanterar data i form av kundregister. Grafiska företag kommer till största delen tillhöra kategorin personuppgiftsbiträden. Den här guiden syftar till att förstå förordningen och implementera den i företaget. Den ger även exempel på situationer man som personuppgiftbiträde kan hamna i. Mer information finns på grafiska.se/gdpr Ravindra Parasnis Vd Grafiska Företagen 2 GDPR GRAFISKA FÖRETAGEN

3 Vad är dataskyddsförordningen? Europeiska dataskyddsförordningen (GDPR) antogs av Europaparlamentet och EUs ministerråd i april Syftet med förordningen är att ge enskilda individer bättre kontroll över användningen av deras personuppgifter. Viktiga fakta! Allmänna dataskyddsförordningen (EU)2016/679, allmänt kallad GDPR, ersätter direktiv 95/46/EG. Lagstiftningen är teknikneutral. Den gäller såväl data på internet som data i fristående system (t.ex. arkiv med pappersdokument). Den gäller hanteringen av personuppgifter både i relationer mellan företag och privatpersoner och mellan olika företag.!!! Till skillnad från det tidigare direktivet, som införlivades i den nationella lagstiftningen, är GDPR en förordning och därmed direkt tillämplig. GDPR är tillämplig såväl i alla EU-medlemsstater som i EES (Europeiska ekonomiska samarbetsområdet). Företag och organisationer måste följa förordningen senast den 25 maj Vilket är ursprunget till den europeiska dataskyddsförordningen? Dataskyddet inom EU har hittills i huvudsak reglerats genom ett direktiv från 1995, dataskyddsdirektivet. Det reglerar behandlingen av personuppgifter och måste skrivas in i den nationella lagstiftningen av alla medlemsstater. Men mycket har hänt sedan 1995 och idag behövs ett nytt rättsligt ramverk, ett som tar höjd för den utveckling som skett i digitalåldern. När diskussionerna om att se över dataskyddsdirektivet inleddes 2011 ville EU-kommissionen till en början förändra reglerna kring direktreklam. Istället för att som tidigare låta människor aktivt välja bort direktreklam om de inte ville ha den, ville kommissionen istället kräva att människor aktivt valde att ta emot direktreklam. En sådan förändring branschen. Enligt undersökningar genomförda av Intergraf skulle en sådan bestämmelse kunna ha tryckeriproduktionen. Det skulle i sin tur leda till minskade med upp till 15 procent. Intergraf argumenterade starkt emot förslaget genom att visa att behandling av direktbrev aldrig tidigare har ifrågasatts med anledning av respekten för personuppgifter. Efter framgångsrik lobbying föreslog EU-kommissionen istället en direktivtext där det ursprungliga förslaget inte nämndes. Det hade ersatts av rätten att göra invändningar, en rätt som garanterar att personer som får direktreklam kan välja bort den. Vidare gjorde EU-kommissionens förslag det från början även omöjligt att låta en tredje part behandla personuppgifter. Intergraf argumenterade framgångsrikt för att tredje parter skulle inkluderas i den juridiska texten för att på så sätt säkerställa att tryckerier även i framtiden kan hantera adresser för sina kunders räkning. GRAFISKA FÖRETAGEN GDPR 3

4 Hur påverkas tryckerierna? Dataskyddsförordningen (GDPR) påverkar alla företag och organisationer som lagrar personuppgifter, inklusive personuppgifter om anställda. Tryckerier påverkas extra mycket eftersom de regelbundet hanterar personuppgifter för kunders räkning. Att företag som hanterar adresserad direktreklam påverkas av förordningen är självklart, men de är långt ifrån ensamma: alla tryckerier som använder, lagrar och/eller bearbetar personuppgifter som har erhållits från kunden omfattas av de nya reglerna. För att illustrera tryckeriernas skyldigheter enligt den nya allmänna dataskyddsförordningen på bästa sätt använder denna guide tre exempel på fall. egna skyldigheter i hanteringen av personuppgifter. De tre fallen tar upp: A B C användning av personuppgifter (företag A) lagring av personuppgifter (företag B) insamling av personuppgifter (företag C) Denna guide har medvetet begränsats till att omfatta roller och skyldigheter hos tryckerier som tillhör kategorin personuppgiftsbiträden. Detta gäller för het med personuppgifter har ytterligare skyldigheter och ansvar som inte omfattas av denna guide. Viktiga definitioner Personuppgiftsansvarig: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt, kan den personuppgiftsansvariga eller de särskilda kriterierna för hur denne ska utses föreskrivas i någon av dessa. Personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvarigas räkning. Behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådana åtgärder är insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsande, radering eller förstöring. 4 GDPR GRAFISKA FÖRETAGEN

5 1 Användning av personuppgifter Företag A Företag A är användare av personuppgifter. Det är ett tidskriftstryckeri som tar emot prenumeranternas adresser från sin kund, tidskriftsutgivaren, via FTP (File Transfer Protocol). Uppgifterna (namn och adress) trycks på en etikett och tryckeriet skickar tidskriften till prenumeranten. Tryckeriet behandlar inte uppgifterna utöver detta, men kan antingen behålla dem för att använda vid framtida produktioner av tidskriften eller radera uppgifterna och invänta uppdaterade uppgifter från utgivaren för nästa nummer av tidskriften. 1.1 ROLLER I detta scenario har utgivaren av tidskriften inledningsvis samlat in sina prenumeranters namn och adresser och överfört dem till ett tryckeri, Företag A. Ur dataskyddssynpunkt betraktas utgivaren som personuppgiftsansvarig och Företag A är personuppgiftsbiträde, eftersom Företag A behandlar personuppgifterna å utgivarens vägnar. Företag A använder prenumeranternas personuppgifter för att skicka tidskriften till dem. inte av tryckaren. Därmed använder Företag A inte uppgifterna för sina egna syften utan för att utföra en tjänst åt utgivaren. Företag A är en tjänsteleverantör. 1.2 SKYLDIGHETER Till skillnad från det nuvarande direktivet, som endast innehåller skyldigheter för personuppgiftsansvariga, inför dataskyddsförordningen/gdpr också direkta skyldigheter för personuppgiftsbiträden. I dessa ingår att: REGISTER En viktig aspekt som präglar GDPR som helhet är ansvarsprincipen. Organisationer ska inte bara följa bestämmelserna utan måste dessutom visa att de gör (eller om det trycker känsliga uppgifter, till exempel patientjournaler) skulle det tvingas ha ett register med utgivarens namn och kontaktuppgifter samt behandlingskategorin (det vill säga tryckning av adressetiketter) oavsett om några personuppgifter överförs till länder utanför EES och en allmän beskrivning av säkerhetsåtgärder. Denna information måste vara tillgänglig för den nationella eller regionala tillsynsmyndigheten som kan begära att få ta del av uppgifterna. I praktiken återstår det att se hur ofta dataskyddsmyndigheter (tillsynsmyndigheterna) faktiskt kommer att begära personuppgiftsbiträdens register. Oavsett detta måste personuppgiftsbiträden upprätthålla register för den händelse de blir tillfrågade. Föra register över behandlingsaktiviteter. Tillämpa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Underrätta den personuppgiftsansvariga om personuppgiftsincidenter. Känsliga uppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk tro eller medlemskap i fackföreningar, samt behandling av genetiska data, biometriska data enbart för identifiering av en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexliv eller sexuella läggning. GRAFISKA FÖRETAGEN GDPR 5

6 1.2.2 SÄKERHET Eftersom Företag A blir personuppgiftsbiträde behöver det se till att ha möjligheten att genomföra säkerhetsåtgärder lämpliga för den typ av uppgifter det hanterar och den risk som föreligger. Till exempel kräver tryckning av patientjournaler högre säkerhet än tryckning av adressetiketter. GDPR innehåller en icke-uttömmande lista på säkerhetsåtgärder som kan behöva tillämpas: A B C D Pseudonymisering och kryptering av personuppgifter. Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och tjänsterna. Förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident. Ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. För att kunna fastställa vilka säkerhetsåtgärder som är lämpliga, behöver hänsyn tas till följande faktorer: aktuell teknisk nivå, kostnad för tillämpning, personalens kunskapsnivå och antal personer i personalen som har tillgång till uppgifterna. Åtgärderna måste omfatta både teknik (till exempel kryptering, låsta dörrar, lösenord, kameraövervakning) och organisation (till exempel att utse ett dataskyddsombud eller anordna utbildning för personalen) UNDERRÄTTANDE OM PERSONUPPGIFTSINCIDENTER Råkar Företag A ut för en personuppgiftsincident måste det meddela utgivaren om detta så snart som möjligt efter att man har blivit varse om incidenten. Personuppgiftsincident är ett vitt begrepp som bland annat innefattar att databasen hackas, att en hög med tryckta adressetiketter stjäls eller att personuppgifter skickas till fel adress. 1.3 ANSVARSSKYLDIGHET Den personuppgiftsansvariga har det slutliga ansvaret för behandlingen vid överträdelse av GDPR och ansvarar för att svara på eventuella begäranden från registrerade (t.ex. om tillträde till sina uppgifter) eller dataskyddsmyndigheter. När det kommer till efterlevnaden av bestämmelserna har dock personuppgiftsansvarig och personuppgiftsbiträde liknande skyldigheter, eftersom båda är bundna av skyldigheten att uppfylla bestämmelserna om ansvarsskyldighet i GDPR. I bestämmelserna ingår skyldigheten för personuppgiftsansvarig och personuppgiftsbiträde att ingå ett avtal om behandling av personuppgifter, där villkoren för behandlingen fastställs. Villkoren för behandling av personuppgifter ingår vanligtvis i ett bredare tjänsteavtal mellan utgivaren och tryckaren, där bland annat antalet etiketter, pris och leveransdatum fastställs. GDPR ställer högre krav enskommelse om hantering av personuppgifter i både skriftlig och elektronisk form mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Överenskommelsen ska fastställa att Personuppgiftsbiträdet endast behandlar personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvariga. De anställda som behandlar personuppgifterna har åtagit sig att iaktta konfidentialitet. Personuppgiftsbiträdet har vidtagit lämpliga tekniska och organisatoriska säkerhetsåtgärder. Personuppgiftsbiträdet bistår den personuppgiftsansvariga med att uppfylla vissa skyldigheter. Huruvida personuppgiftsbiträdet, beroende på vad den personuppgiftsansvariga väljer, raderar eller återlämnar alla personuppgifter till den personuppgiftsansvariga efter det att tillhandahållandet av behandlingstjänster har avslutats. Enligt lag är den personuppgiftsansvariga ansvarig också för eventuella överträdelser från personuppgiftsbiträdets sida. Men GDPR ger också personuppgiftsbiträden en allmän skyldighet att följa GDPR. Därför kan även biträden stämmas av enskilda eller bli föremål för åtgärder från dataskyddsmyndigheterna. 6 GDPR GRAFISKA FÖRETAGEN

7 Tillsynsåtgärder kan innebära en varning, en revision eller böter på upp till 4 procent av den årliga omsättningen, eller 20 miljoner euro (det som är störst). Behandlingsavtal mellan utgivare och tryckeri måste utarbetas med stor noggrannhet för att fastställa ansvarsskyldigheten. Det kommer att behövas tydliga klausuler som anger vilken part som bär ansvaret vid till exempel en personuppgiftsincident. Varje enskilt fall kommer att kräva en utredning kring vem som bär skulden. 1.4 ANVÄNDNING AV UPPGIFTER Företag A får endast behandla personuppgifterna enligt den personuppgiftsansvarigas anvisningar, vilket inbegriper att trycka adressetiketterna. Genom att radera uppgifterna och invänta en uppdaterad databas följer Företag A dataskyddsprinciperna korrekthet och lagringsminimering. Publiceras tidskriften regelbundet tillåter bestämmelserna också att uppgifterna lagras hos företaget. Läggs tidskriften ned bör Företag A radera adresserna. Checklista för tryckare 1 Ta reda på vilka uppgifter ni behandlar, var de lagras och hur de flödar inom företaget. 2 Granska dokument som rör integritet, avtal med underleverantörer och försäljningsvillkor. 3 Inför tekniska och administrativa processer som kan förhindra och åtgärda personuppgiftsincidenter. 4 Överväg att anta kommande uppförandekoder eller certifiering för att förbättra företagets rykte. 5 Överväg att utse ett uppgiftsskyddsombud (senior anställd på företaget som rapporterar till styrelsen). 6 Försäkra er om att kunna dokumentera riktlinjer och metoder GRAFISKA FÖRETAGEN GDPR 7

8 2 Företag B Lagring av personuppgifter Företag B är ett direktreklamtryckeri som erbjuder sina kunder databashanteringstjänster. Tryckeriet har en webbplattform där uppgifter samlas in från kunderna. Tryckeriet säkerställer underhållet av databasen (uppdatering av adresser) men söker inte efter kunder och gör ingen profilering. Företag B kan lägga ut arbetet på ett företag som är specialiserat på databashantering, men skulle i så fall fortfarande vara ansvarig gentemot sin kund. 2.1 ROLLER Liksom Företag A i det första scenariot betraktas Företag B här som ett personuppgiftsbiträde som behandlar uppgifter för kundens räkning. Kunden är personuppgiftsansvarig. Behandling innefattar insamling, lagring och ändring av uppgifter. 2.3 ANSVARSSKYLDIGHET Precis som i det första scenariot skulle både Företag B och dess kund vara ansvarsskydliga enligt GDPR. En eventuell skuldfråga måste avgöras från fall till fall utifrån vem som gjort fel och vad behandlingsavtalet anger. Om Företag B lägger ut underhållet till en specialist på underhåll av databaser skulle Företag B fortfarande vara personuppgiftsbiträde och specialistföretaget skulle vara underpersonuppgiftsbiträde. Innan skriftligt tillstånd för detta från den personuppgiftsansvariga kunden. Lägger Företag B ut underhållet, har det fortfarande fullständig ansvarsskyldighet gentemot kunden för brister i specialistföretagets dataskydd. Detta är mycket viktigt med tanke på de nya bötesbestämmelserna i GDPR. Tryckerier bör tillämpa skälig försiktighet med underleverantörer när det gäller behandling som medför stor risk. 2.2 SKYLDIGHETER Företag B:s skyldigheter är desamma som Företag As i scenario ett och räknas upp i punkten 1.2 ovan. Skulle Företag B utföra underhållet självt skulle det kräva ökad säkerhet, eftersom det är en mer riskfylld behandling än den som utförs av Företag A. 2.4 ANVÄNDNING AV UPPGIFTER Företaget B kan hålla databasen uppdaterad eftersom den är till för laglig användning och att databasen skapats för detta. Det skulle dock inte kunna leta nya Lägger Företag B ut underhållet till ett specialistföretag måste det upprätta samma typ av skriftliga avtal om skyldigheter mellan sig och specialistföretaget skulle behöva innehålla alla de föreskrifter som listas som Företag B anlitar för behandling av dessa personuppgifter. För att en viss behandling av personuppgifterna ska vara legal krävs att den görs utifrån laglig grund. De två lagliga grunderna när det gäller direktreklam är samtycke från de enskilda eller den personuppgiftsansvarigas legitima intressen (förklaras närmare i avsnitt 3.4 på sid. 10). Företag B:s kunder kan ha frågat alla sina klienter om de har invändningar mot att Företag B lagrar deras 8 GDPR GRAFISKA FÖRETAGEN

9 kräver GDPR att kunden först söker ett nytt samtycke som inkluderar detta från alla sina klienter. Mer troligt än att kunden frågat alla klienter är att denne bedömt att det låg i dennes legitima intresse, och inte strider mot klienternas rättigheter, att lagra en uppdaterad lista. I så fall skulle kunden också kunna bedöma om den nya behandlingen att leta klienter syftet. Då behöver kunden överväga ett antal parametrar, som: Mer än rättslig efterlevnad! Tillämplig av GDPR handlar inte bara om rättslig efterlevnad utan även om att skydda ditt företags rykte. Se det som en möjlighet! Varför inte marknadsföra dina insatser för att öka integritet och säkerhet? Kunderna kan se det som en värdefull konkurrensfördel. Om det finns en koppling mellan det ursprungliga ändamålet och ytterligare ändamål. Förhållandet mellan sig själv och klienterna. Typen av uppgifter. Följderna av vidare bearbetning. Om det vidtagits några skyddsåtgärder. Oavsett vilket måste kunden i egenskap av personuppgiftsansvarig själv fatta beslutet. Företag B kan i sin roll som personuppgiftsbiträde endast behandla uppgifter enligt de anvisningar kunden gett, inte ta beslut om annan behandling. Skulle Företag B börja fatta den typen av beslut skulle det strida mot behandlingsavtalet och företaget skulle anta rollen av personuppgiftsansvarig. Därför är det den personuppgiftsansvariga det vill säga utgivaren som fastställer medel och syften med behandlingen. GRAFISKA FÖRETAGEN GDPR 9

10 3 Företag C Insamling av personuppgifter Företag C är ett direktreklamtryckeri som erbjuder direktmarknadsföringstjänster (inklusive att leta nya kunder, identifiera konsumentpreferenser, profilering) åt sina kunder. Företag C kan lägga ut arbetet på ett företag som är specialiserat på direktmarknadsföring men skulle fortfarande vara ansvarig gentemot sin kund. 3.1 ROLLER I detta scenario beror direktreklamtryckeriets roll som personuppgiftsansvarig eller personbiträde på huruvida företaget genomför marknadsföringskampanjer för dess egen räkning eller för kundernas. I ett fall som i scenario två, där Företag C agerar på uppdrag av och istället för sina kunder, skulle Företag C betraktas som personuppgiftsbiträde: kunderna skulle fortfarande vara personuppgiftsansvariga. Lägger Företag C ut en del av behandlingen (t.ex. till ett specialistföretag blir Företag C fortfarande personuppgiftsbiträde specialistföretaget blir underpersonuppgiftsbiträde. Om Företag C i stället använder uppgifterna för sina egna marknadsföringsändamål gör det företaget till en personuppgiftsansvarig som agerar på eget initiativ. Det skulle innebära att Företag C blir direkt ansvarigt gentemot de registrerade och får alla de olika skyldigheter personuppgiftsansvaret medför. I dessa ingår bland annat att i förväg underrätta och få enskildas medgivande till deltagande och att ha system på plats för att enskilda ska kunna att utöva sin rätt till dataportabilitet. 3.3 ANSVARSSKYLDIGHET På samma sätt som i scenario två ovan skulle både Företag C och dess kund vara ansvarsskyldiga enligt GDPR. Vem som bär skulden för ett visst fel måste avgöras från fall till fall. Skulle Företag C lägga ut skyldighet för alla specialistföretagets åtgärder. 3.4 ANVÄNDNING AV UPPGIFTER själva behöver de först bedöma om den följer bestämmelserna. Enligt GDPR krävs konsekvensbedömningar när behandlingen innebär hög risk. kvenser för enskilda. Däremot är det osannolikt att postala distributionslistor hamnar i denna kategori. Vidare vägledning om vad som utgör hög risk väntas komma senare i år. Även i detta fall skulle det vara den personuppgiftsansvariga som beslutar om den rättsliga grunden för behandling. Precis i de två tidigare scenarierna är detta normalt kunden, undantaget om Företag C bestämmer ändamål och medel för behandlingen. 3.2 SKYLDIGHETER Företag Cs skyldigheter är desamma som Företag As i scenario ett. Skyldigheterna räknas upp i punkt 1.1 ovan. Precis som i scenario två gäller att om Företag C med specialistföretaget som innehåller samma före- 10 GDPR GRAFISKA FÖRETAGEN

11 De två relevanta grunderna är: A Samtycket B Legitimt intresse Enligt GDPR måste samtycket från dem som registreras vara otvetydigt, vara skilt från samtycke till alla övriga tjänster och förmedlat på ett lättbegripligt språk. Den enskilda personen måste informeras om hur dennes personuppgifter kommer att användas genom ett meddelande om skydd av personuppgifter vid den tidpunkt då deras uppgifter samlas in. Personen måste också måste ha möjlighet att när som helst ta tillbaka sitt samtycke. Samtycket måste medges via en entydig, bekräftande handling som godtar den behandling som planeras. Marknadsförare måste också upprätthålla ett register med samtycken, vilket kan innebära att ett nytt system behöver upprättas. Vid direktmarknadsföring med elektroniska medel måste marknadsförare i förväg ha samtycke till deltagande ( föregående samtycke ). Detta samtycke ska väljas frivilligt (opt-in) i enlighet med e-integritetsdirektivet. Det finns emellertid ett undantag från detta. Det kallas mjuk opt-in och innebär bland annat att den enskilda redan tidigare haft affärskontakt med marknadsföraren. Föregående samtycke skulle normalt inte krävas för marknadsföring via vanlig post. Marknadsförare bör därför kontrollera om de samtycken de har från registrerade fortfarande gäller enligt GDPR. De flesta europeiska länder har en lista med enskilda som har motsatt sig att få direktreklam. Därför bör marknadsförare regelbundet kontrollera sina distributionslistor mot denna lista för att säkerställa att bestämmelserna följs. GDPR anger uttryckligen att behandling för direktreklam kan anses vara ett legitimt intresse. Dataskyddsmyndigheter föredrar dock tydligt samtycke som rättslig grund för direktreklam, i synnerhet eftersom samtycke krävs för alla former av elektronisk marknadsföring. Legitima intressen måste vara lagliga, tydligt uttryckta och representera ett verkligt intresse. Den personuppgiftsansvariga måste väga sina egna intressen mot enskildas rättigheter. Denna avvägning bör ta hänsyn till uppgifternas natur, sättet de behandlas på, rimliga förväntningar hos de enskilda och den personuppgiftsansvarigas status i förhållande till dem. Profilering stärker avsändarföretagets marknadsföringsinsatser och ger samtidigt mottagaren material som är mer relevant, vilket sannolikt uppfyller kraven på legitimt intresse. Skulle Företag C däremot kombinera uppgifterna med andra datasamlingar och sedan sälja de kombinerade profilerna till en orelaterad part med vinst, skulle detta sannolikt inte uppfylla kraven på legitimt intresse. Reglerna för profilering är striktare enligt GDPR: enskilda har kvar rätten att invända mot direktmarknadsföring, men denna kommer också att utökas till profilering och komma att omfatta rätt till mänskligt ingripande och en tydlig förklaring till hur uppgifterna införskaffats och på vilka grunder de används för direktmarknadsföringen. Mer information och tips hittar du hos Datainspektionens hemsida och grafiska.se! Datainspektionens tips på förberedelser inför maj 2018 för personuppgiftsbiträden Datainspektionens svar på vanliga frågor om GDPR Grafiska Företagens informationsida om GDPR GRAFISKA FÖRETAGEN GDPR 11

12 ! & Grafiska Företagen Telefon Mail 12 GDPR GRAFISKA FÖRETAGEN