En organisation behöver inte bara se till att behandla personuppgifter i enlighet med den allmänna dataskyddsförordningen, men den måste också kunna visa att den uppfyller kraven. Detta inbegriper genomförande av inbyggt dataskydd, register över behandlingar och under vissa omständigheter genomförande av en konsekvensbedömning avseende dataskydd.
Inbyggt dataskydd och dataskydd som standard
Som personuppgiftsansvarig, både när ni utformar en behandling och vid tidpunkten för behandlingen, måste ni vidta lämpliga åtgärder för att säkerställa att dataskyddsprinciperna följs. Ni måste också se till att, som standard, endast personuppgifter som är nödvändiga för varje specifikt ändamål behandlas (detta gäller mängden data, omfattningen av behandlingen, lagringsminimering och dess tillgänglighet).
En organisation som tillämpar inbyggt dataskydd och dataskydd som standard är, med andra ord, en organisation som beaktar och integrerar dataskydd och enskildas personliga integritet i alla aspekter och i varje skede av sin behandling, i de verktyg som används såväl som i övrig affärsverksamhet.
För att göra detta måste er organisation, innan ni påbörjar någon behandling, ta hänsyn till:
- arten, sammanhanget och omfattningen av den planerade behandlingen.
- de risker som kan uppstå till följd av den planerade behandlingen eller annan affärsverksamhet som kan påverka enskildas personuppgifter.
- de tekniska och organisatoriska åtgärder som bör vidtas för att minska de identifierade riskerna och därigenom säkerställa att enskildas personuppgifter skyddas på lämpligt sätt.
- de tekniska och organisatoriska åtgärder eller förfaranden som ska vidtas för att säkerställa att behandlingen av personuppgifter (särskilt insamling, lagring och övergripande användning av enskildas uppgifter) begränsas till vad som är nödvändigt mot bakgrund av de eftersträvade målen.
I praktiken
- En bokhandel vill öka sina intäkter genom att sälja böcker online. Bokhandelns ägare vill skapa ett standardiserat formulär för beställningsprocessen. I första hand gör ägaren alla fält i formuläret obligatoriska, inklusive kundens födelsedatum, telefonnummer och hemadress. Men inte alla fält i formuläret är nödvändiga för att sälja och leverera böckerna.
Vid beställning av en e-bok kan kunden till exempel ladda ner produkten direkt till sin enhet. Då ska man inte behöva fylla i fälten ovan i webbformuläret för att beställa böcker. Webbutikens ägare beslutar därför att göra två webbformulär: en för beställning av böcker, med ett fält för kundens adress och ett webbformulär för beställning av e-böcker utan fält för kundens adress. På så sätt ser ägaren till att endast de uppgifter som behövs för behandlingen samlas in. - En läkarmottagning med flera anställda läkare samlar in uppgifter om sina patienter i företagets informationssystem. De olika läkarna kan behöva få tillgång till patientjournaler, till exempel när de täcker upp för en annan läkare som är frånvarande, för att informera om sina beslut om vård och behandling av patienterna, och för dokumentation av alla diagnostik-, vård- och behandlingsåtgärder som vidtas. Som standard beviljas endast de läkare som har till uppgift att behandla respektive patient åtkomst till uppgifterna.
Det är bra att föra register över dessa bedömningar och åtgärder för att kunna visa att ni följer principerna om inbyggt dataskydd och dataskydd som standard. En godkänd certifieringsmekanism får också användas för att visa överensstämmelse med inbyggt dataskydd och dataskydd som standard.
Skyldighet att föra register över uppgiftsbehandlingen
Som organisation har ni en skyldighet att föra ett register över era behandlingar av personuppgifter. Detta register bör bevaras skriftligen, till exempel i elektronisk form.
Registret ger er en översikt över era behandlingar av personuppgifter. För att skapa ett sådant register bör ni identifiera vilken av era aktiviteter som kräver behandling av personuppgifter (t.ex. rekrytering, lönehantering, utbildning, passerkort och åtkomsthantering, lista över potentiella kunder etc.). Var och en av dessa behandlingar ska beskrivas i registret med följande uppgifter:
- syftet med behandlingen (t.ex. kundlojalitet);
- de kategorier av uppgifter som behandlas (t.ex. för löner: namn, förnamn, födelsedatum, lön osv.).
- vem som har tillgång till uppgifterna (mottagarna – t.ex. den avdelning som ansvarar för rekryteringen, IT-tjänsten, ledningen, tjänsteleverantörerna, partner...).
- i tillämpliga fall, information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES).
- om möjligt, lagringsperioden (den period för vilken uppgifterna är användbara ur operativ synvinkel och ur ett arkiveringsperspektiv).
- om möjligt, en allmän beskrivning av säkerhetsåtgärder.
Registret över behandlingar av personuppgifter faller under organisationens chefs ansvar. Detta register måste vara tillgängligt för dataskyddsmyndigheten i det EES-land där ni är verksamma, om så begärs.
Det är inte nödvändigt att organisationer som sysselsätter färre än 250 personer tar upp rent tillfällig verksamhet i sina register (t.ex. uppgifter som behandlas för enstaka evenemang såsom öppnandet av en butik.
Hur gör man en konsekvensbedömning avseende dataskydd?
Vad är en konsekvensbedömning?
Om en behandling sannolikt kommer att medföra en hög risk för enskilda personers fri- och rättigheter måste den personuppgiftsansvariga göra en konsekvensbedömning avseende dataskydd. En konsekvensbedömning av dataskydd är en skriftlig bedömning av en planerad behandling. Det hjälper er att identifiera lämpliga skyddsåtgärder för att minska riskerna och visa efterlevnad.
När ska man göra en konsekvensbedömning?
Det är alltid att föredra om er organisation kan förutse effekterna av planerad behandling genom att göra en konsekvensbedömning av dataskydd, men det är obligatoriskt att utföra en sådan konsekvensbedömning när behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter.
Detta är särskilt fallet när den planerade behandlingen omfattar följande:
- behandling i stor skala av känsliga personuppgifter och uppgifter som rör fällande domar i brottmål.
- en systematisk och omfattande utvärdering av en persons personliga aspekter på grundval av automatiserad behandling, inbegripet profilering, och på vilka beslut som har rättslig verkan för den berörda personen eller på liknande sätt i betydande grad påverkar enskilda personer.
- systematisk övervakning av ett allmänt tillgängligt område i stor skala.
I de flesta fall bör behandling som uppfyller två av följande kriterier bedömas genom en konsekvensbedömning avseende dataskydd:
- utvärdering eller poängsättning.
- automatiserat beslutsfattande med rättslig eller liknande betydande effekt.
- systematisk övervakning.
- känsliga uppgifter eller uppgifter av mycket personlig karaktär.
- uppgifter som behandlas i stor skala:
- matchning eller kombination av datamängder.
- uppgifter om sårbara registrerade.
- innovativ användning eller tillämpning av nya tekniska eller organisatoriska lösningar.
- När behandlingen i sig hindrar enskilda från att utöva en rättighet eller använda en tjänst eller ett avtal.
Behöver vi göra en konsekvensbedömning?
Svara på frågorna i vårt interaktiva flödesschema för att ta reda på det!
Är det sannolikt att behandlingen leder till hög risk för enskilda?
Gäller några undantag?
Exempel på när en konsekvensbedömning avseende dataskydd kanske inte krävs:
- den planerade behandlingen är mycket lik en behandling som redan varit föremål för en konsekvensbedömning avseende dataskydd,
- Typen av behandling finns i en undantagslista som ert lands dataskyddsmyndighet kan ha antagit.
- Behandlingen är tillåten enligt EU-lagstiftning eller nationell lagstiftning.
Behöver vi göra en konsekvensbedömning?
Ja, ni måste utföra en konsekvensbedömning
Finns det några stora risker kvar för enskilda efter konsekvensbedömningen avseende dataskydd?
Behöver vi göra en konsekvensbedömning?
Ingen konsekvensbedömning avseende dataskydd behövs
Kontakta ert lands dataskyddsmyndighet
Ni behöver inte rådfråga er dataskyddsmyndighet
Topp tips kring en konsekvensbedömning
Ni bör kontakta dataskyddsmyndigheten i det EES-land där er organisation är baserad för att ta reda på om de har ett offentligt tillgängligt dokument som anger villkoren för vilken behandling som kommer att behöva en konsekvensbedömning avseende dataskydd och vilken behandling som inte behöver en konsekvensbedömning avseende dataskydd.
Exempel på när en konsekvensbedömning avseende dataskydd kan krävas:
- behandling av biometriska uppgifter, t.ex. genomsökning av fingeravtryck eller ansiktsdrag för att identifiera personer.
- användning av uppgifter om utsatta personer i marknadsföringssyfte, till exempel för att förutsäga deras inköp.
- mobilapp som spårar individens plats.
Exempel på när en konsekvensbedömning av dataskydd kanske inte krävs
- den planerade behandlingen är mycket lik en behandling som omfattades av en annan konsekvensbedömning avseende dataskydd.
- behandlingen ingår i den frivilliga förteckningen över behandlingsåtgärder (som upprättats av er nationella dataskyddsmyndighet) som inte omfattas av en konsekvensbedömning avseende dataskydd.
- behandlingen är tillåten enligt EU-lagstiftning eller nationell lagstiftning.
Vad ska man inkludera i en konsekvensbedömning?
Er konsekvensbedömning för dataskydd bör innehålla:
- en beskrivning av den planerade behandlingen och dess syfte.
- en nödvändighets- och proportionalitetsbedömning.
- de risker som behandlingen kan medföra,
- åtgärder för att hantera riskerna.
Förhandssamråd under en konsekvensbedömning avseende dataskydd
När den personuppgiftsansvarige inte kan hitta tillräckliga åtgärder för att minska riskerna till en godtagbar nivå (dvs. de kvarstående riskerna är fortfarande höga) krävs samråd med dataskyddsmyndigheten. I så fall ska den registeransvarige tillhandahålla följande information:
- de respektive ansvarsområdena för de personuppgiftsansvariga, gemensamt personuppgiftsansvariga och personuppgiftsbiträden som deltar i behandlingen.
- syftet med behandlingen och hur behandlingen kommer att genomföras.
- de åtgärder som planeras för att skydda enskilda personers personuppgifter.
- kontaktuppgifter till dataskyddsombudet för er organisation, i förekommande fall;
- Konsekvensbedömningen i fråga.
Efter en konsekvensbedömning – Testa den, förbättra den, kontrollera den!
När er konsekvensbedömning är genomförd, måste ni testa den; förbättra den vid behov, utföra er personuppgiftsbehandling; göra en ny bedömning av om er konsekvensbedömning för dataskydd stämmer överens med behandlingen. och kontrollera utfallet.
Läs mer
Artikel 29-arbetsgruppen: Riktlinjer för konsekvensbedömning av dataskydd
Europeiska kommissionens nyhetsrum
Nationella listor över typer av databehandlingsoperationer som kräver eller inte kräver en konsekvensbedömning avseende dataskydd
Dataskyddskommissionen, den irländska tillsynsmyndigheten
Uppförandekoder
Beroende på var er organisation är belägen inom EES kan det finnas föreningar eller andra organ som företräder personuppgiftsansvariga eller personuppgiftsbiträden. Dessa sammanslutningar och organ kan utarbeta uppförandekoder, inklusive mekanismer för uppgiftsskydd, som personuppgiftsansvariga och personuppgiftsbiträden kan följa för att säkerställa att enskildas personuppgifter respekteras i enlighet med GDPR.
Mer specifikt ska dessa uppförandekoder säkerställa t.ex. följande:
- att personuppgifter behandlas på ett rättvist och öppet sätt.
- att de ändamål för vilka enskilda personers uppgifter behandlas är berättigade,
- hur man pseudonymiserar personuppgifter;
- att öppen information ges till enskilda personer vars personuppgifter behandlas,
- samtycke till behandling av enskildas uppgifter, särskilt personuppgifter som rör barn, söks på lämpligt sätt.
- att alla tekniska och organisatoriska åtgärder vidtas för att säkerställa en säker behandling av enskilda personers uppgifter,
- att förfaranden för anmälan av personuppgiftsincidenter följs.
- att förfaranden, inbegripet skyddsåtgärder, i samband med överföring av personuppgifter till länder och organisationer utanför EES följs,
- att förfaranden i samband med domstolsförfaranden och tvistlösning följs.
Topptips
- Ni bör ta kontakt med relevant förening eller organ som utarbetar uppförandekoder enligt GDPR, eftersom dessa kan hjälpa er med er GDPR- efterlevnad.
Certifiering
Vad är en GDPR-certifiering?
En organisation som erhåller en GDPR-certifiering kan använda denna certifiering för att visa att dess behandling är förenlig med GDPR.
EES-ländernas dataskyddsmyndigheter kan t.ex.
- utfärda GDPR-certifieringar enligt sitt eget certifieringssystem,
- utfärda GDPR-certifieringar i sig, enligt sitt eget certifieringssystem, men också delegera hela eller delar av bedömningsprocessen till tredje part,
- inrätta ett eget certifieringssystem och ge särskilda organ i uppdrag att utfärda dessa certifieringar,
- uppmuntra marknaden att utveckla certifieringsmekanismer,
- bedöma certifieringsorganens certifieringssystem.
Ett certifieringsorgan har till uppgift att utfärda, granska och återkalla certifieringar på grundval av en certifieringsmekanism och godkända kriterier.
Certifieringsorgan måste dokumentera sin bedömning av er organisations personuppgiftsbehandling för vilken en GDPR-certifiering kan utfärdas.
Vår organisation har fått en GDPR-certifiering, vad händer härnäst?
GDPR-certifieringen av en behandling som er organisation utför är giltig i högst 3 år, men kan förnyas eller återkallas. För att behålla denna certifiering måste er organisation kontinuerligt och konsekvent leva upp till åtgärderna kring den personuppgiftsbehandling som certifierats.