Guide: Det här gäller vid hantering av personuppgifter

5 minuter

Som företagare eller myndighet är det viktigt att vara påläst om vilka regler som gäller för behandling av personuppgifter. Det är lätt att göra fel och även om ambitionen har varit att göra rätt så kan konsekvenserna kan bli kostsamma i form av höga böter, negativ publicitet och andra juridiska och administrativa kostnader.

Lagstifting ställer höga krav på hantering av personuppgifter

Lagstiftningen förändras kontinuerligt i takt med att digitaliseringstakten ökar i världen och med det ställs högre krav på säkerhet och integritetsskydd. Detta innebär att förutsättningarna för att göra rätt ständigt ändras, vilket kan illustreras av EU-domstolens Schrems II-dom. Denna dom innebär i korthet att företag som överför personuppgifter till USA bryter mot lagen.

Om domen blir allmänt vägledande innebär det att digitala lösningar där data lämnar EU (exempelvis amerikanska tjänster) inte kan användas för kommunikation där personuppgifter delas om man vill följa lagen och vara GDPR-compliant. IMY (Integrationsmyndigheten) granskar och utreder för närvarande sex olika privata bolag med anledning av Schrems II.

Integritetslagstiftigning i korthet

Den viktigaste och mest allmänna lagstiftningen om behandling av personuppgifter är GDPR (General Data Protection Regulation, Dataskyddförordningen), som gäller alla juridiska personer inom EES (EU och samarbetande länder, exempelvis Norge). GDPR tillämpas på alla organisationer som behandlar personuppgifter, och behandling innebär att personuppgifterna i något läge är tillgängliga för organisationens anställda eller dess hård- och mjukvarusystem. Det innebär att så fort en organisation handskas med personuppgifter, gäller GDPR.

Personuppgifter får bara behandlas om personerna har gett sitt samtycke eller om det finns annan laglig grund för behandling. Till exempel kan polisen behandla information om brottsmisstänkta även utan samtycke från dessa. Organisationen som antingen har fått samtycket eller har laglig grund för behandlingen kallas personuppgiftsansvarig (PUA), och denna kan delegera behandling till andra organisationer, som då blir personuppgiftsbiträden (PUB). En sådan delegering kräver ett personuppgiftsbiträdesavtal (PUBA).

PUA och PUB måste uppfylla flera krav, både när det gäller samtycke och behandling av uppgifterna. Till exempel får uppgifterna bara sparas så länge samtycket eller den lagliga grunden kvarstår. Om en person uttrycker att de inte längre vill att deras uppgifter behandlas måste de tas bort – detta kallas rätten att bli glömd.

Vissa personuppgifter anses särskilt känsliga och behandling av dessa är i normalfallet förbjuden, om inget undantag finns. Du kan läsa mer om detta på IMY:s hemsida.

Det ställs också krav på att informationen ska hållas uppdaterad och att informationen ska skyddas på ett säkert sätt. Detta är särskilt viktigt när det gäller behandling av känsliga personuppgifter. Diskussioner kring amerikanska molntjänster och säkerhetsåtgärder kring åtkomst till känslig information har därför blivit mer och mer vanliga. I offentlig sektor är det vanligt att inloggning till system måste stämma överens med Diggs tillitsramverk för svensk e-legitimation. Detta för att inte konton och inloggningsuppgifter ska tilldelas och hanteras vårdslöst, eftersom effekten för den enskilda medborgaren kan bli väldigt stor om informationen läcker ut.

Om du är en offentlig organisation kan du förutom GDPR också träffas av andra lagar som Patientdatalagen, NIS-direktivet, Offentlighets- och sekretesslagen och Säkerhetsskyddslagen. Om du är en finansiell organisation finns istället finansiella regelverk att ta hänsyn till.

Vad kan hända om jag bryter mot lagstiftningen?

Om du bryter mot lagstiftningen kan det få allvarliga konsekvenser. Maxbeloppet för brott mot GDPR är 20 miljoner euro eller 4 % av den globala årsomsättningen (den summa som är högst). Även om inga så stora vitesbelopp har delats ut än så är de betydande för många verksamheter och kan ha negativa effekter på företagaets rykte och trovärdighet. Vitesbeloppen bestäms utifrån bedömning av bland annat allvarlighetsgrad och antal förseelser.

Nedan är några exempel på företag som har brutit mot GDPR och vilka konsekvenser det har medfört. Gemensamt för företagen är att de är seriösa aktörer som strävar efter att göra rätt men brist på kunskap om lagstiftning samt i vissa fall en ”låt oss se vad som händer-attityd” har lett till att de blivit fällda av IMY (Integrationsmyndigheten). Fler ärenden går att läsa om på IMY:s hemsida.

  • Region: Patient- och personuppgifter har inte hanterats och distribuerats korrekt enligt GDPR. Konsekvens: Sanktionsavgift om 1,9 miljoner kronor samt negativ publicitet.
  • Region: Oaktsamhet avseende lagring av personuppgiftsdata. Konsekvens: Sanktionsavgift om 250 tusen kronor samt negativ publicitet.
  • Nätdoktor: Oaktsamhet avseende lagring av personuppgiftsdata. Konsekvens: Vite om 12 miljoner kronor samt juridiska kostnader då ärendet överklagats.
  • Upplysningsföretag: Personuppgiftsincident och tillsyn enligt kreditupplysningslagen. Konsekvens: Vite om 350 tusen kronor.
  • Bank: Personuppgiftsincident där uppgifter läckt ut på Facebook. Konsekvens: Vite om 400 tusen kronor samt negativa artiklar i press och på sociala medier.

Tips: Så undviker du att göra fel vid behandling av personuppgifter

Att hantera personuppgifter på ett korrekt sätt är viktigt för att undvika konsekvenser som böter eller förlorat förtroende från kunder och användare. Nedan finns några tips som kan hjälpa dig att undvika misstag:

  • Var påläst på vilka lagar och villkor som gäller i Sverige.
  • Välj leverantörer av IT med omsorg och se till att de hanterar din information korrekt utifrån:
    • Tekniska skyddsåtgärder (Kryptering etc. Notera att en part enligt GDPR anses vara behandlande om den kan ha tillgång till informationen och krypteringsnyckeln).
    • Fysiska skyddsåtgärder (Var finns informationen och hur skyddad är den?)
    • Administrativa skyddsåtgärder (Utbildad personal som endast har tillgång till den information som krävs för att utföra sina arbetsuppgifter).
    • Lagring
    • Spridning
    • Underleverantörskedjor
  • Använd KLASSA som stöd
    • KLASSA är ett informationssäkerhetsverktyg utvecklat av SKR, vars syfte är att ge dig en checklista rent praktiskt för vad du behöver göra för att säkerställa din personuppgifter. Mer information om KLASSA finns här.
    • Även du som inte är en offentlig organisation kan använda KLASSA för att få en bruttolista över de åtgärder du behöver vidta för att uppnå gällande informationssäkerhetskrav. Se KLASSAS demo här.

Genom att ta hänsyn till dessa tips kan du ge dig själv de bästa förutsättningarna för att hantera personuppgifter på ett korrekt och säkert sätt.

Vill du ha hjälp att se över era kommunikationslösningar? Kontakta oss så hjälper vi dig.