Embed Size (px)
Citation preview
Sammanfattning utbildning i ny dataskyddsförordning (del 1)
NYA REGLER FÖRHANTERING AVPERSONUPPGIFTER
Utbildning i nydataskydds- förordningLotta Kavartardze
registreringsnummer. Även om man som
innehavare av ett register över till exempel
lägenhetsnummer inte vet vem som bor i
respektive bostad, finns det någon annan
som sitter på kopplingen. Därmed blir det
en personuppgift även för den part som
inte har tillgång till kopplingen mellan
nummer och person.
Samma sak gäller om man pseudonymi-
serar eller krypterar. Så länge det finns
en någon eller något som kan identifiera
uppgifterna till en specifik person är det
en personuppgift. För att bryta kopplingen
till en person måste uppgifterna helt och
hållet anonymiseras.
Lotta Kavartardze har länge jobbat med dataskydds- och personupp-giftslagen och har bra koll på vad den nya förordningen innebär. Un-der utbildningens två dagar berättar hon om grundläggande faktorer för personuppgiftsbehandling och hur man kan anpassa sin verksamhet ef-ter nuvarande och kommande lagar.
Personuppgiftslagen omfattar alla uppgifter
som kan kopplas till en enskild person och
som hanteras eller har hanterats digitalt.
Som företag eller organisation har man rätt
att registrera och förvara personuppgifter
som är nödvändiga för att bedriva verksam-
heten. Men de får endast vara registrerade
så länge man kan motivera att de behövs
för verksamheten och att de som har till-
gång till den behöver dem i sitt arbete. Ett
grundläggande tips från Lotta är därför att
aldrig registrera mer än vad som behövs.
Vad är en personuppgift?En personuppgift är all typ av informa-
tion som på något sätt kan kopplas
till en identifierbar, fysisk person som
är i livet. Det kan vara direkta uppgifter,
såsom namn eller personnummer, men
också indirekta uppgifter som till exempel
lägenhetsnummer, e-postadresser eller
Även omdömen och värderingar koppla-
de till en specifik person är personuppgif-
ter, till exempel beskrivning av bemötande
eller uppträdanden av specifika personer.
Dessa uppgifter anses ofta vara mer inte-
gritetskränkande än andra, eftersom det
kanske innebär en subjektiv beskrivning
eller värdering. Det är också denna typ av
register som bostadsbolag i första hand
blivit dömda för gällande överträdelser
av personuppgiftslagen. Lottas bild av
just omdömen och värderingar är att det
bara är dumt att skriva ner och registrera,
både för verksamheten och ur ett juridiskt
perspektiv.
HistoriaDen första dataskyddslagen kom till när folkräkningen flyttade från pappersblanket-
ter till en av statens första datorer på 1960-talet. Det uppstod då en oro kring säker-
heten för hur uppgifterna skulle hanteras digitalt samt vem som övervakar de som
övervakar befolkningen. Diskussionen mynnade ut i den första datalagen från 1973.
I slutet av 1980-talet antogs nuvarande PUL-lag, och med tanke på hur den digitala
världen såg ut då kan man förstå att den är något daterad. Den nya förordningen,
som kommer från EU och i stort sett är samma lag i alla medlemsländer, träder i kraft
25 maj 2018. Syftet är att få en mer enhetlig lagstiftning över hela unionen. Det kom-
mer finnas områden där länderna kan införa undantag, överordnade lager etc, men
med den nya förordningen får alla länder samma lägsta- och högstanivå för vad som
gäller för behandling av personuppgifter.
på i vilket system det sparas, vem som har
behörighet och vilka uppgifter som ingår.
Även här råder mantrat att inte spara/
registrera mer än vad som behövs för verk-
samheten.
känslig informationDet är förbjudet att registrera personupp-
gifter som klassas som känsliga. Följande
uppgifter räknas som känsliga enligt
lagen: Ras eller etniskt ursprung (både
direkta uppgifter eller indirekta uppgifter,
till exempel modersmål), politiska åsikter,
religiös eller filosofiskt övertygelse, med-
lemskap i fackförening, hälsa och sexualliv.
Nytt för den nya dataskyddsförordningen
är att även biometrisk och genetisk infor-
mation räknas som känslig information.
Självklart finns undantag, ett fackförbund
måste till exempel registrera sina medlem-
mar och HR-avdelningar måste kunna
registrera sjukfrånvaro. Ska man tillämpa
undantagen måste man ha koll på vad och
när det gäller, och om man över huvud
taget som organisation har rätt till det. Det
är också viktigt att fundera över om känslig
information är viktig att registrera, oftast
är det inte det. Det som kan ligga till grund
för undantag är till exempel skriftligt sam-
tycke, arbetsrätten, rättsliga anspråk (till
exempel om man vill göra en anmälan till
Bild, video, ljudupptagningar, biome-
trisk och genetisk information är också
personuppgifter. Till det räknas till exem-
pel inspelade samtal och kameraövervak-
ning där man kan identifiera individer.
Biometrisk information är till exempel
fingeravtryck. Förtydligande över vad som
är en personuppgift och fler kategorier
finns i den nya dataskyddsförordningen.
Vilka uppgifter får man spara?Kundförhållandet som studentbostadsfö-
retag har med sina hyresgäster ger rätt att
spara uppgifter som är berättigade för och
har grund i verksamheten. Oftast behöver
man inte samtycke för att registrera till
exempel namn, personnummer, adress etc.
Enligt Lotta är det ibland både överflödigt
och skapar merjobb att be om samtycke.
När man behöver samtycke eller inte är en
avvägning man får göra från fall till fall. Dä-
remot är det enligt den nya förordningen
otroligt viktigt att bostadsföretagen har
information tillgänglig för hyresgästerna
om hur personuppgifter behandlas.
Som studentbostadsföretag är det intres-
sant att spara uppgifter kring gamla hy-
resgäster eftersom många har en maxtid
som man får hyra studentbostad. Det är då
enligt lagen godkänt att spara den typen
av uppgifter, men det är viktigt att tänka
polisen). Fler undantag specificeras i den
nya förordningen.
Hos studentbostadsföretag kan känsliga
uppgifter komma in via fritextformulär, till
exempel genom ärendehanteringssystem.
Det kan man som företag inte rå över, men
man har ett ansvar för att den informatio-
nen inte förs vidare till andra system eller
följer med i den fortsatta hanteringen.
Extra skyddsvärda uppgifterMellan personuppgifter och känsliga upp-
gifter finns en kategori med personuppgif-
ter som anses vara lite extra värda att vara
försiktig med. Det är till exempel person-
nummer, samarbetsförmåga, viss ekono-
misk information eller annat som ligger
nära privatlivet. För studentbostadsföretag
kan det till exempel handla om någon som
kontinuerligt ligger efter med hyran. Det
finns inget förbud mot att registrera detta
och det kräver heller inte samtycke, men
det krävs extra säkerhetsåtgärder för de
platser där uppgifterna finns registrerade.
övergripande legala föränd-ringar med den nya data-skyddsförordningenÄven om alla medlemsstater kommer ha
samma lagtext, lämnar den stort utrymme
för tolkningar. När lagen träder i kraft 2018
kommer vi inte helt att veta hur den ska
tillämpas, utan det kommer praxis be-
stämma i stor utsträckning. Eftersom det
är oklart så kräver både förordningen och
omständigheterna att företag och orga-
nisationer i större utsträckning dokumen-
terar hur man behandlar personuppgifter
och vad som är syftet bakom att registrera
dem. Lotta tipsar om att man gärna kan
ta hjälp av krav som andra lagar ställer,
till exempel hyreslagen, för att motivera
registrering.
1. Krav på ordning och redaEn av de största förändringarna för en-
skilda företag är det ökade kravet på att
redogöra för hur man behandlar person-
uppgifter och varför man har de regist-
rerade. Kraven sträcker sig bland annat
till att det ska finnas tydliga strategier för
behandling av personuppgifter, öppenhet
gentemot de vars personuppgifter är re-
gistrerade och en struktur i organisationen
för ansvarsfördelning.
2. Ny dataskyddsstyrelseEn europeisk dataskyddsstyrelse kommer
tillsättas som har ansvar för förordningen.
Förordningen innebär stora sanktions-
avgifter, upp till €20 miljoner eller fyra
procent av omsättningen. Anledning till
att kraven är så höga är för att man med
större effekt ska kunna komma åt de stora
it-bolagen som verkar i EU.
3. Ökad dokumentationSom tidigare nämnt ställs stora krav på
analyser, rutiner och dokumentation.
Man ska kunna visa och bevisa att man
följer lagstiftningen med hjälp av doku-
mentation. Den kan till exempel innebära
olika policys, analyser av behandling av
personuppgifter, rutiner för gallring etc.
Förordningen kräver också att system och
programvaror är privacy by default, och
inte privacy by design. De betyder att ut-
gångsläget i alla system som hanterar per-
sonuppgifter automatiskt ska vara de som
är bäst för integriteten, och att det inte
behöver ske via manuella inställningar.
4. Ökat krav för samtyckeÄven krav för samtycke kommer att bli
hårdare. Hur det kommer se ut exakt vet
man ännu inte, men det lutar åt att sam-
tyckestexten måste ligga helt separat och
inte får blandas ihop med annan informa-
tion eller text. Lotta tycker därför att man i
första hand ska försöka hitta andra anled-
ningar att registrera personuppgifter än
samtycke, till exempel motivera varför de
behövs för verksamheten.
5. Ökat krav på information gentemot hyresgästenInformationskravet, som inte ska blandas
ihop med samtycke, kommer också blir
större. Till exempel ställs krav på att man
mer tillgängligt och utförligt ska beskriva
hur man registrerar personuppgifter, var
man gör det och varför. Det ska även fram-
gå vilka rättigheter individen har, till ex-
empel att de har rätt att klaga eller begära
skadestånd. Här rekommenderar Lotta att
vara noggrann, tydlig och detaljrik.
6. Krav på dataskyddsombudDen nya förordningen kräver att det finns
ett dataskyddsombud på arbetsplatsen
som har hand om frågor rörande data-
skydd och personuppgifter.
7. Informera om dataintrångOm det händer något med företagets
IT-system eller liknanden måste det do-
kumenteras. Vid allvarliga fall av intrång
måste det anmälas och berörda kunder
måste meddelas. Mer information om den
här biten kommer närmare införandet.
8. IT-leverantören blir tillsynsobjektTill skillnad från tidigare lagstiftning
innebär den nya förordningen även att
IT-leverantörer blir tillsynsobjekt. Det be-
tyder att de måsta ta större ansvar för hur
de hanterar personuppgifter. Men som
företag har man fortsatt ansvar för att de
IT-program man använder sig av hanterar
personuppgifter på rätt sätt.
Problemområden för data-skydd – vad går fel?Enligt Lotta är det brist på medvetande
som oftast orsakar problem, man vet helt
enkelt inte vad som gäller eller vilka krav
man behöver möta. Ett annat stort pro-
blem är att man har för lite eller för dålig
information om hur man behandlar per-
sonuppgifter, både internt och externt.
Att gallra i gamla personuppgifter är också
en sak som många missar. Ofta kanske
man inte gör det eftersom tekniken inte
kräver det, till exempel att servern inte
är full. Men det är ingen ursäkt, gamla
personuppgifter som inte längre behövs i
verksamheten ska kontinuerligt rensas ut.
För bostadsföretag specifikt är fritext ett
problemområde. Som bostadsföretag kan
man inte ansvara för vad hyresgäster eller
andra skriver i fritextrutor, utan problemet
ligger istället i att fritexten ofta förs vidare
in i andra system oredigerade och att tex-
ten ibland innehåller personuppgifter.
Elektroniska nycklar, kameraövervakning,
utelämnande av uppgifter till tredje part
för till exempel marknadsföring och olika
typer av e-tjänster är andra områden där
det lätt kan uppkomma problem för bo-
stadsföretag.
Lottas tips för att jobba med dataskyddtet och dels för att det kan finnas liten kunskap om vad
en personuppgift är. Genom att utbilda personal vet de
bättre vilken information de ska ge i samband med kart-
läggningen.
• Känns arbetet stort? Börja på en liten enhet eller en en-
het ni känner till väl.
• Skapa ett nätverk/kontaktpersoner för att bolla frågor
med och som kan hjälpa till med att föra projektet
framåt.
• Träffa de personerna som hanterar olika system och
intervjua dem för att förstå vad deras arbete innebär. Här
kan man utgå ifrån färdiga mallar och enkäter.
• Ta reda på om personer gör andra saker utanför de större
systemen, till exempel egna listor i Excel, Word etc.
• Gör en juridisk utvärdering utifrån kartläggningen och
intervjuerna. Vad stämmer överens med lagen och vad
behöver justeras, läggas till eller tas bort? Till exempel
kan en behandling behöva raderas, gamla register
behöver gallras och ändamålsbeskrivningen för en be-
handling/registrering/utlämning vara fel eller behöva
förtydligas.
• Kommunicera de förändringar som identifieras snabbt
(helst inom någon/några veckor) till de som berörs. Får
man ingen respons tror man att allt är bra och nödvän-
diga förbättringar uteblir.
• Var inte en stoppkloss eller skapa onödiga hinder. Gå
istället till botten med varför man vill använda person-
uppgifter i olika situationer och gör en bedömning uti-
från resultatet.
• Gör en GAP-analys: Här är vi -> hit ska vi. Vad är GAPet
övergripande tips• Förankra arbetet och syftet i styrelse och/eller lednings-
grupp. Att organisationen förstår vikten av arbetet med
dataskydd och behandling av personuppgifter är en
förutsättning för ett lyckat projekt.
• Skapa förståelse bland chef och kollegor – peka på tänk-
bara konsekvenser, inte bara risker utan även att ett bra
dataskydd kan stödja er verksamhet.
• Specificera ambitionen med dataskyddsarbetet – var är
ni idag och vilken nivå ska ni lägga er på? Alla behöver
inte vara bäst. Ambitionsnivån bestämmer hur mycket
tid, resurser och vilken budget projektet ska få.
• Ta fram en projektplan eller projektdirektiv – dataskydds-
arbetet är ett arbete som behöver styrning och ledning
• Se arbetet som ett projekt som ska genomföras under en
viss tid och sätt upp delmål
• Involvera personal, chef och medarbetare i hela proces-
sen. Även om man hyr in extern kompetens – se till att
någon går med under arbetets gång för att kunskapen
inte ska gå förlorad
tips för nulägesanalys/kartläggning• Att kartlägga alla rutiner och behandlingar av person-
uppgifter är ett omfattande arbetet. Skaffa ett verktyg
som är bra och underlättar arbetet med dokumentation
och registerförteckning.
• Kategorisera rött, gult, grönt. Vilka behandlingar/proces-
ser behöver åtgärdas, prioriteras eller är bra som de är
• Innan man börjar kartlägga är det bra att informera och
utbilda om projektet internt, dels för att förankra projek-
emellan, hur tar vi oss över det och vem för vad?
• Ta fram åtgärdsplaner, följ upp och dokumentera
• Titta även på att ta fram guidelines, policys och se över
avtal med IT-leverantören
tips för utbildning i organisationen• Medvetenhet är en förutsättning för ett gott dataskydds-
arbete. Alla ska ha en grundläggande kunskap om data-
skyddslagen – men alla behöver inte vara experter
• Ta fram exempel från verkligheten
• Lägg ut en Q&A på intranätet med de vanligaste frå-
gorna
• Andra sätt att öka kunskapen om dataskydd är e-lear-
ning, arbetsplatsträffar, seminarier, utbildning etc.
tips för papper• Många studentbostadsföretag har ett gäng gamla
kontrakt i pappersform. Dessa är personuppgifter och
innehåller dessutom även signaturer, vilket gör det extra
viktigt att tänka till kring säkerheten kring det.
• Sätt lås på skåpet
• Vem har behörighet till dokumenten?
• Bär inte omkring på informationen
• Informera om säkerhet kring papper och fysiska doku-
ment i företaget och eventuellt externa aktörer
• Se till att slänga/förstöra papper på rätt sätt
bEHandling aV PErson-UPPgiftErPå af bostädErClaes Hjortronsteen
steg 1: förankringMed insikten om att här är ett område som
behöver prioriteras började Claes med att
förankra det i ledningsgruppen. Lednings-
gruppen fick en kort utbildning i vad PUL
egentligen innebär och vad det kräver
av AF Bostäder. Framförallt diskuterade
de vad en dålig skött behandling av per-
sonuppgifter kan få för konsekvenser för
företaget, och en av de saker som kändes
viktig var att varumärket riskerade att få
dåligt rykte och renommé.
AF Bostäder tog ett snabbt beslut om att
prioritera frågan och tillsatte en projekt-
grupp bestående av Claes själv och företa-
gets ledningskoordinator. Projektgruppens
ansvar innefattade att göra en kartlägg-
ning av hur personuppgifter behandlades
idag, utbilda personalen, ta fram förslag
på en framtida organisation för ansvar för
personuppgiftsbehandling samt ta fram
nödvändiga dokument och policys.
Det första målet vara att kartlägga hur
ärendehanteringen såg ut i dagsläget.
Vilka uppgifter finns i vilka system och
vilka har tillgång till dem. Därefter jäm-
förde de resultatet med kraven från data-
skyddslagen och identifierade områden
som behövde prioriteras och förändras.
Med oss från AF Bostäder är Claes Hjortronsteen, försäljningschef, som genomfört en grundlig genomgång och kartläggning av deras behand-ling av personuppgifter. Han berät-tar om deras resa och delar med sig av tips om vad man ska göra - och vad man inte ska göra.
Precis som på många andra studentbo-
stadsföretag inkommer personuppgifter
till AF Bostäder främst via bostadsansök-
ningar, men även olika typer av särbe-
handling och studie- och medlemskon-
troll. Och med tanke på den stora mängd
personuppgifter de hanterar började Claes
för några år sedan känna en gnagande
oro – är det här något de behöver ta tag
i? Hur ser rutinerna för personuppgifter ut
på företaget och var de i enlighet med vad
lagen kräver?
Efter lite research av vad dataskyddslagen
innebär idag och troligen kommer innebä-
ra 2018 samt en snabb koll på hur de han-
terade personuppgifter insåg Claes att de
var långt ifrån att ha sitt på det torra. Bland
annat insåg han att de saknade policys, var
dåliga på att informera studenterna om
hur deras uppgifter behandlas, hade ingen
behörighetsstruktur och var dåliga på att
gallra bort uppgifter från gamla kunder.
steg 2: kartläggningKartläggningen började med att projektet
förankrades i hela företaget för att alla
skulle vara medvetna om vad som hände
och varför. Målet med kartläggningen var
att besvara vad som registreras var, varför
och av vem. De bad därför IT-avdelningen
att ta fram en snabbanalys över vilka sys-
tem som används i företaget. För att få rätt
svar från medarbetarna och rätt riktning på
diskussionen tog de fram ett frågeformulär
att utgå ifrån som baserades på PUL:s krav
och innefattade allt de behövde veta.
Claes understryker att arbetet med kart-
läggning tar tid, för AF Bostäder tog det
nästan upp mot ett år. Det involverar ofta
många personer, som själva har mycket att
göra. Och i vissa fall får det lov att ta tid, för
att alla information ska komma fram och
bli tillgänglig.
steg 3: organisationNästa fråga projektgruppen tog sig an var
organisationsfrågan. Vem ska äga ansvaret
när projektgruppens arbete är över? De
kom ganska snart fram till att ha en enda
PU-ansvarig inte var en lösning eftersom
ansvaret bör ligga hos de som jobbar
nära arbetet med personuppgifter. AF
Bostäder är organisatoriskt uppdelat i tre
processområden (boutveckling, fastighets-
utveckling och försäljning) och ansvaret
för personuppgifterna lades på de tre
som är ansvariga för respektive område.
De är därmed ansvariga för hur person-
uppgifter behandlas inom sitt respektive
område. Dessutom inrättade AF Bostäder
en PU-samordnare, som ansvarar för att
koordinera de olika processansvariga samt
vidareutbilda företaget i ämnet.
Kompetens och verksamhetsstöd är a
och o i arbetet med personuppgifter. Allt
från interna och externa utbildningar till
dokument, checklistor och IT-stöd är vik-
tigt för att få en bra grund i företaget för
både kartläggning och genomförande.
Claes och hans kollegor skapade egna
dokument, mallar och IT-stöd, men märkte
i efterhand att det finns att tillgå på annat
håll. Något som i efterhand kunde sparat
en hel del arbete.
steg 4: anpassningEfter kartläggningen var det dags att an-
passa program, dokument och arbetssätt
efter lagstiftningen. Claes främsta tips
är att även låta detta ta tid. Man kan inte
hoppa på alla bollar samtidigt och samtlig
involverad personal måste få det stöd som
behövs.
Det AF Bostäder gjorde var bland annat att
upprätta biträdesavtal med alla IT-leveran-
törer. Eftersom den nya dataskyddsförord-
ningen kräver att man har koll på hur per-
sonuppgifter behandlas även av externa
parter och leverantörer är det viktigt att ta
reda på hur de i sin tur hanterar person-
uppgifter. Vad gäller IT-system och olika
program så har även de så klart behövt
anpassas. Där är Claes tips att anpassa dem
så att så lite manuellt arbete som möjligt
behövs i framtiden.
En annan viktigt sak är särskilja var in-
formation och medgivande. Att be om
hyresgästens medgivande för användning
av personuppgifter är inte detsamma som
att informera om hur man hanterar dem.
AF Bostäder var därför tvungna att bättre
tillhandahålla information om hur man
använder personuppgifter och varför.
avslutande rådUnder de två år som Claes och AF Bostäder
har jobbat med personuppgifter har de
lärt sig ett och annat. Det Claes hela tiden
återkommer till är att det är en process
som måste få ta tid. Bestäm tempo och
vilka resurser som ska användas inom
företaget och ta det i den takt det behövs
utan att tappa sikte på målet.
Han ångrar heller inte att de internt lade
ner så mycket arbete på processen, istäl-
let för att ta in en konsult. Vinsten är att
kompetensen de fått stannar kvar inom
företaget, vilket är en tydlig fördel i det
kommande kontinuerliga arbetet.
Ett mer konkret tips Claes avslutar med
är att försöka avveckla kommunikation i
fritext och/eller i okontrollerade kanaler,
till exempel Facebook och mejl. Det är en
gråzon vad gäller dataskydd och det är
bättre att utveckla nya, säkrare vägar för
kommunikation med hyresgäster.
Nytt
medlemserbjudande!
Smarta verktyg för säker
och korrekt hantering
av personuppgifter
Läs mer på vår webb
