Sida 1 (6) Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA Vad är GDPR den nya dataskyddsförordningen? Dataskyddsförordningen (GDPR) är en ny EU-förordning som innehåller regler om hur företag får behandla personuppgifter. Dataskyddsförordningen börjar gälla den 25 maj 2018 och medför en hel del förändringar vad gäller företags hantering av personuppgifter. När gäller dataskyddsförordningen? För att dataskyddsförordningens regler ska gälla krävs det att det sker en behandling av personuppgifter. Information om vad som är en personuppgift och vad som utgör en behandling finns nedan. Varför behöver ni följa de nya reglerna? Att inte följa de nya reglerna kan i värsta fall innebära att tillsynsmyndigheten utfärdar sanktionsavgifter på upp till 20 000 000 Euro eller 4 % av företagets globala omsättning (om företaget ingår i en koncern beräknas beloppet på koncernens globala omsättning). Dessutom kan enskilda individer kräva skadestånd och tillsynsmyndigheten kan utfärda bland annat varningar, begränsningar och förbud mot behandlingen. Datainspektionen är tillsynsmyndighet i Sverige. Vad behöver ni göra? För att underlätta för er som medlemsföretag i MRF att förbereda er inför de nya reglerna har MRF tagit fram en checklista med generella åtgärder. Checklistan innehåller både exempel på lagstadgade krav och andra åtgärder som MRF rekommenderar. Listan kan behöva anpassas och kompletteras beroende på hur just er verksamhet ser ut. MRF garanterar inte att listan är uttömmande. Vi rekommenderar er att anlita en advokat eller jurist som är specialiserad på dataskyddsfrågor för att få juridisk rådgivning som är anpassad efter er verksamhet.
Sida 2 (6) Checklista Interna åtgärder och rutiner Skapa medvetenhet om lagen bland de anställda som hanterar personuppgifter eller fattar beslut som rör behandlingen av dessa. Starta och genomför ett projekt för att säkerställa att ert företag anpassar sig till dataskyddsförordningen. Utred vilka behandlingar av personuppgifter som ni är personuppgiftsansvariga för (ensamt eller gemensamt med någon annan). Inventera vilka personuppgifter som ni behandlar, t.ex. vilka register ni har som innehåller personuppgifter och vilka personuppgifter som ni samlar in. Påbörja samtidigt upprättandet av en registerförteckning. Säkerställ att ni har rutiner för att hålla registerförteckningen uppdaterad, t.ex. genom en anställd som ansvarar för detta. Säkerställ att ni har laglig grund för de personuppgifter som ni behandlar. Fastställ generella rutiner för hur ni ska säkerställa att dataskyddsförordningen följs och dokumentera förslagsvis dessa i en intern policy för att kunna visa att reglerna följs. Fastställ när personuppgifterna ska gallras, t.ex. i en gallringspolicy. Utred om behandling av personuppgifter sker utanför EU/EES och säkerställ i sådant fall att ni har en laglig grund för överföringen. Inför rutiner för åtgärder vid avslutade relationer med enskilda (t.ex. när avtal upphör). Det kan vara t.ex. avidentifiering/pseudonymisering av personuppgifter. Utred om ni omfattas av kravet på att utse ett dataskyddsombud. Om ni inte omfattas av kravet bör ni ändå utse en person som har särskilt ansvar för dataskyddsfrågor och det huvudsakliga ansvaret för projektet. Inför rutiner för hantering av personuppgiftsincidenter. Se över behovet av övriga rutiner och mallar som lagen kräver, t.ex. vid begäran om information, radering, konsekvensbedömning och dataportabilitet.
Sida 3 (6) Checklista fortsättning Samarbetspartners Inventera vilka av era leverantörer, samarbetspartners och liknande som behandlar personuppgifter för er räkning (personuppgiftsbiträden) och sammanställ dessa i en lista. Säkerställ att ni ingår ett s.k. personuppgiftsbiträdesavtal med dessa (alternativt underbiträdesavtal i de fall det rör data där ni är biträde). Inventera om ni behandlar personuppgifter för någon annans räkning så som personuppgiftsbiträde, t.ex. för generalagentens eller fordonstillverkarens räkning, och sammanställ dessa i en lista. Säkerställ att ni ingår personuppgiftsbiträdesavtal med dessa. Inventera om ni har gemensamt personuppgiftsansvar med någon och säkerställ att ni i sådant fall ingår ett avtal om detta. IT- och säkerhetsåtgärder Inventera era IT-system och säkerställ att de uppfyller kraven i dataskyddsförordningen. Dessa krav kan variera beroende på hur känslig data ni behandlar i respektive system, men de kan t.ex. innebära möjlighet till kryptering, att kunna återställa tillgången till personuppgifter i rimlig tid vid en incident och förmåga att säkerställa motståndskraft. Se över era rutiner för informationssäkerhet så de uppfyller kraven i dataskyddsförordningen. Inför rutiner för att uppnå tillräcklig säkerhet vid behandling av personuppgifter, t.ex. behörighetskontroll och säkerhetslösningar. Ställ krav på era leverantörer, samarbetspartners och andra som behandlar personuppgifter för er räkning så att de uppfyller kraven i dataskyddsförordningen. Se över er konfidentialitet, upprätta t.ex. en intern IT-och sekretesspolicy för anställda och inhyrda konsulter. Säkerställ att ni följer principerna om Privacy by design vid IT-upphandlingar, inköp och egen utveckling. Privacy by design innebär att IT-system har inbyggda mekanismer för dataskydd, t.ex. uppgiftsminimering, åtkomstkontroll, automatisk gallring samt stöd för samtycke och dataportabilitet.
Sida 4 (6) Checklista fortsättning Juridiska dokument med mera Upprätta en personuppgiftspolicy med information om hur ni behandlar era kunders personuppgifter, se MRF:s informationsmall här. En instruktion om hur ni anpassar mallen finns här. Upprätta en personuppgiftspolicy med information om hur ni behandlar uppgifter om kontaktpersoner hos samarbetspartners, leverantörer etc. Upprätta eventuella samtyckestexter och rutiner för behandling med samtycke som laglig grund. Upprätta en mall för personuppgiftsbiträdesavtal och underbiträdesavtal. Säkerställ att ni har en laglig grund för överföring utanför EU/EES, t.ex. genom att ingå modellklausulsavtal. Vid behov mall för gemensamt personuppgiftsansvar. Särskilda åtgärder inom HR/Personal Upprätta en personuppgiftspolicy med information om hur ni behandlar era anställdas personuppgifter och rensa/uppdatera befintlig information i t.ex. anställningsavtal och personalpärmar. Upprätta en personuppgiftspolicy med information om hur ni behandlar kandidaters personuppgifter samt eventuella samtyckestexter för till exempel kandidatdatabaser. Inför rutiner för utbildning och efterlevnad av dataskyddsreglerna för anställda och konsulter.
Sida 5 (6) GDPR Ordlista Personuppgift En personuppgift är en uppgift som direkt eller indirekt kan identifiera en fysisk person. En uppgift kan vara en personuppgift även om ni som företag inte kan identifiera den fysiska personen själva, men någon annan kan göra det. Exempel på personuppgifter är namn, kontaktuppgifter och bilregistreringsnummer (om det går att koppla till en fysisk ägare eller användare av bilen). Även uppgifter som finns lagrade i ett fordons dator kan vara person-uppgifter om uppgifterna går att koppla till en fysisk person. Tänk på att även uppgifter till kontaktpersoner och anställda på ett företag anses vara personuppgifter. Behandling Med behandling avses alla åtgärder eller kombinationer av åtgärder som kan vidtas med personuppgifter. Det kan t.ex. vara insamling, registrering, lagring, bearbetning, användning och radering av personuppgifter. Personuppgiftsansvarig När det sker en behandling av personuppgifter är det alltid någon som är personuppgiftsansvarig för behandlingen. Den personuppgiftsansvariga är den som, ensamt eller tillsammans med andra, bestämmer ändamål och medel för behandlingen. Det innebär att den som bestämmer vilka personuppgifter som ska behandlas och vad de ska användas till är ansvarig för den behandlingen. Det är normalt inte en enskild anställd som är personuppgiftsansvarig, utan istället ni som medlemsföretag. Det är alltid den personuppgiftsansvariga som ansvarar för att reglerna i dataskyddsförordningen följs. Personuppgiftsbiträde Personuppgiftsbiträde är den som behandlar personuppgifter för någon annans räkning. Det innebär att personuppgiftsbiträdet inte har några egna ändamål med behandlingen, utan endast behandlar personuppgifterna efter instruktioner från den personuppgifts-ansvariga. Externa IT-leverantörer, rekryteringsföretag och reklambyråer är exempel på företag som typiskt sett agerar som personuppgiftsbiträden. Tänk på att även ni som medlemsföretag i vissa fall kan agera som personuppgiftsbiträden. Mellan ett person-uppgiftsbiträde och en personuppgiftsansvarig måste det alltid finnas ett personuppgifts-biträdesavtal som reglerar hur personuppgiftsbiträdet får behandla de aktuella person-uppgifterna. Dataskyddsombud Dataskyddsombud är en fysisk person som utses av den personuppgiftsansvariga och som har ett särskilt ansvar över att dataskyddsreglerna följs. Registerförteckning En registerförteckning är en förteckning över alla behandlingar som ni utför. Enligt dataskyddsförordningen ska förteckningen innehålla viss information, men det finns inget krav på hur formen på förteckningen ska vara. Beroende på hur omfattande behandlingar ni utför kan ni välja att föra registerförteckningen i Excel-format eller i ett av de register-förteckningsprogram som erbjuds på marknaden.
Sida 6 (6) Vad kan det handla om? Vanliga kategorier av uppgifter De flesta medlemsföretag behandlar personuppgifter om: Anställda Arbetssökande/kandidater Kunder Potentiella kunder (vid t.ex. provkörning av fordon eller vid begäran av offert) Laglig grund när får personuppgifter behandlas? För att det ska vara tillåtet att behandla personuppgifter krävs det att det finns en laglig grund för behandlingen. De grunder som normalt är aktuella för er som medlemsföretag är: Behandlingen är nödvändig för att fullgöra ett avtal som den enskilde är part i eller för att vidta åtgärder på begäran av den enskilde innan ett avtal ingås, t.ex. för att ingå avtal om service eller köp av ett fordon. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, t.ex. för att följa bokföringslagstiftningen. Med stöd av en intresseavvägning där den personuppgiftsansvariges intressen väger tyngre än den enskildes intressen. Vad som är tillåtet enligt en intresseavvägning avgörs oftast genom praxis. Den enskilde har lämnat sitt samtycke till behandlingen, t.ex. samtyckt till att få nyhetsbrev eller annan direktreklam. Grundläggande principer Laglighet, korrekthet och öppenhet Ändamålsbegränsning - Uppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål - Får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål Uppgiftsminimering - Uppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen Korrekthet - Uppgifter ska vara korrekta och om nödvändigt uppdaterade, annars raderas eller rättas Lagringsminimering - Uppgifter får inte sparas längre tid än nödvändigt för ändamålen Integritet och konfidentialitet - Krav på säkerhet, inbegripet skydd mot obehörig/otillåten behandling och mot förlust Ansvarsskyldighet - Den ansvarige ska kunna visa att de grundläggande principerna efterlevs - Kontaktpersoner hos företag (t.ex. hos kunder, samarbetspartners och leverantörer) - Tidigare ägare (t.ex. i elektroniska serviceböcker)