Myter kring GDPR
Det råder just nu något som närmast kan liknas vid GDPR-hysteri. Jag har själv arbetat mycket med system för behandling av extra känsliga personuppgifter och som regleras genom apoteksdatalagen som i sin tur är en påbyggnad på personuppgiftslagen (PUL). Apoteksdatalagen ger såväl större befogenheter som större ansvar beträffande hantering av personuppgifter jämfört med nuvarande personuppgiftslagstiftning.
Personuppgiftslagen (PUL)
Personuppgiftslagen bygger i grund och botten på några enkla principer, och för de organisationer som inte faller inom ramen för mer exotiska undantag kan man sammanfatta kraven man ska leva upp till med följande:
- Behandling av personuppgifter får göras om den registrerade gett sitt samtycke eller om de krävs för att fullfölja ingånget avtal med den registrerade
- Behandling av personuppgifter får bara göras baserat på de ändamål som informerats om i samband med att samtycke inhämtades eller avtal ingåtts
- Den registrerade har rätt att, kostnadsfritt, få information om vilka personuppgifter som behandlas, och man har rätt att återkalla sitt tidigare samtycke.
- Man får inte använda personnummer i onödan, och man får inte slarva med behandlingen av personuppgifter (det som i lagen heter ”enligt god sed”)
- Man är skyldig att anmäla personuppgiftsbehandling till Datainspektionen
När Dataskyddsförordningen som är det svenska namnet på GDPR införs, den 25:e maj 2018, kommer regelverket att bli mer stringent, men den som har bra koll på PUL i dag kommer att ligga bra till även efter den nya förordningen vinner laga kraft. Min personliga övertygelse är att det stora fokus frågan har fått beror till stor del på att det kommer att kunna kosta stora summor om man inte tar lagen på allvar, och att man fått upp ögonen på att man kanske slarvat lite med PUL.
Nyheter i GDPR
De förändringar som införs i samband med Dataskyddsförordningen är för de allra flesta organisationer inte några större problem att uppfylla. Grovt kan man sammanfatta de nya kraven till följande:
- Man inför krav på dataportabilitet – d.v.s. man kommer att ha rätt att få ut sina uppgifter för att kunna föra över dem till en annan tjänst.
- Man blir skyldig att anmäla incidenter till Datainspektionen inom 72 timmar (t.ex. dataintrång eller om personuppgifter oavsiktligen förstörts)
- Tidigare undantag från PUL avseende personuppgifter som lagrats ostrukturerat (dokument, videoklipp, bilder m.m.) försvinner.
- Datainspektionen kommer att kunna utdöma en sanktionsavgift för den som bryter mot reglerna.
Vanliga missuppfattningar
Myt: Vi måste sluta lagra personnummer
Om man kunnat lagra personnummer enligt PUL kommer man fortsatt att kunna göra det med den nya Dataskyddsförordningen. Lagen föreskriver att man bara får behandla personnummer utan samtycke när det är motiverat av ändamålet eller är viktigt med säker identifiering – så om du inte lagrar personnummer för skojs skull är det säkert inte svårt att identifiera ett ändamål, eller motivera vikten av säker identifiering.
Finns därutöver ett samtycke är personnummer varken mer eller mindre känsligt än andra personuppgifter, så när det är möjligt är det alltid vettigt att inhämta ett aktivt samtycke.
Myt: Vi måste börja kryptera alla personuppgifter
Det lagen säger är att man ska ”vidta lämpliga tekniska och organisatoriska åtgärder” för att skydda personuppgifter, och att skyddsvärdet beror på risker, kostnader och hur känslig informationen är. Ett kundregister som lagras i en databas i ett privat nätverk och som kräver inloggning uppfyller med största sannolikhet tekniska förutsättningar. Här ska man nog snarare fundera på om man har vidtagit tillräckliga organisatoriska åtgärder. Hur gör vi t.ex. med användarkonton när folk slutar?
De allra flesta register med personuppgifter har ett högt värde för den egna organisationen – något man ogärna skulle vilja komma t.ex. konkurrenter till del, eller råka förstöra på grund av teknikstrul. En bra tumregel är att om man tänker rent egoistiskt på hur man behöver skydda personuppgiftsinformationen kommer detta skydd att vara tillräckligt även för att uppfylla den nya förordningen.
Myt: Man får inte lagra eller behandla personuppgifter utanför Sverige
Dataskyddsförordningen är liktydig inom hela EU (PUL är inte en förordning, utan baserat på ett direktiv som är implementerat i nationell lagstiftning, men PUL anses likväl också harmoniserad inom hela unionen). Om behandlingen är tillåten i Sverige är den också tillåten i andra EU-länder. Undantaget är dock sådana uppgifter som omfattas av rikets säkerhet.
Myt: Vi riskerar att få böta 20 miljoner euro
Den högsta sanktionsavgift som kan komma att utdömas är mycket riktigt 20 miljoner euro, eller upp till 4% av bolagets omsättning (det högsta av de två). Avgiften ska dock bedömas utifrån flera kriterier: Hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen. Den som inte varit uppenbart försumlig eller medvetet brutit mot lagen för att tjäna pengar kommer därför knappast riskera att komma i närheten av de maximala sanktionsavgifterna. Redan idag kan man, om man bryter mot PUL, dömas till fängelse, men mig veterligen har ett sådant hårt straff inte hittills utdömts.
Myt: Samtycke är ett krav för all personuppgiftsbehandling
Samtycke krävs inte för behandling av personuppgifter som behövs för att fullfölja ett ingånget avtal. Vill man däremot använda personuppgifterna till andra ändamål – t.ex. för marknadsföring, eller för att sälja vidare till tredje part – behövs samtycke, precis som är fallet med PUL i dag. Samtycke är heller inte särskilt svårt eller konstigt att inhämta. Om man erbjuder medlemskap i en kundklubb till exempel, är det ganska naturligt att man informerar om hur personuppgifterna kommer att användas, och att man med sin underskrift bekräftar att man tagit del av, och samtyckt till, denna behandling.
Myt: GDPR gäller bara ”direkta” personuppgifter
Dataskyddsförordningen, precis som PUL, behandlar alla uppgifter som kan härledas till en viss individ som personuppgifter. Detta innefattar kundnummer, IP-adresser och så vidare. Samma förutsättningar gäller behandlingen av dessa uppgifter, så vill man verkligen kasta pengarna i sjön ska man införa en massa mellanliggande obskyrifierande ID-begrepp.
Myt: Samtycke ger ”frikort”
Samtycke styr bara vilka personuppgifter man fått samtycke att behandla och enligt vilka ändamål. Man måste fortfarande hantera dessa personuppgifter på adekvat sätt. Detta innebär t.ex. att man inte får spara onödigt mycket uppgifter, att man behöver gallra informationen när man inte längre behöver den, att man måste lagra och behandla informationen på ett sätt som är tillräckligt säkert från obehörig åtkomst och så vidare.