Varför måste vi ha en integritetspolicy?

En introduktion till GDPR och varför personuppgiftsbehandling är någonting alla bolag bör ha koll på.

GDPR var ett ord på mångas läppar år 2018 när EU:s nya dataskyddsförordning General Data Protection Regulation (GDPR) började tillämpas. Många minns säkert alla de mejl som landade i inkorgen från bolag som ville informera om hur ens personuppgifter behandlades. Vissa frågade sig säkert hur det var möjligt att deras personuppgifter fanns på så många och spridda ställen. Idag är kanske inte GDPR ett lika hett samtalsämne, men det är fortsatt viktigt för bolag att hålla sig uppdaterade och se över sin personuppgiftsbehandling.

I en digital era där information är en ovärderlig tillgång men integritet står i centrum för samhällsdebatten står bolag inför en allt mer komplex uppgift: att navigera genom de lagar och regler som styr behandlingen av personuppgifter. För många bolag kan detta framstå som en överväldigande uppgift. Att ta dataskyddsarbetet på allvar och implementera säkerhetsrutiner för att se till att relevanta dataskyddslagar följs medför emellertid inte bara ett skydd för verksamheten och ett förebyggande arbete för att undvika sanktionsavgifter, utan innebär också att förtroendet hos bolagets kunder i många fall förstärks.

Det är vanligt förekommande att bolag inte har tillräcklig koll på sin personuppgiftsbehandling.  Anledningarna kan vara många – allt från okunskap om de krav som finns till bristande förståelse kring att en behandling av personuppgifter faktiskt sker. Många bolag saknar idag en integritetspolicy som säkerställer att rätt information lämnas till de personer vars personuppgifter bolaget behandlar.

Denna artikel syftar till att klargöra varför en integritetspolicy behövs och vad som egentligen utgör behandling av personuppgifter. Artikeln syftar också till att på ett lättförståeligt sätt förklara grunden till GDPR och varför det är av stor vikt att implementera ett dataskyddsarbete i sin verksamhet.

Vad är syftet med GDPR?

Dataskyddsförordningen, vanligen förkortad GDPR, är en övergripande förordning som reglerar behandling av personuppgifter inom hela Europeiska unionen. GDPR syftar till att skapa en gemensam lagstiftning som säkerställer individers rätt till skydd för sitt privatliv och garanterar en ansvarsfull och transparent behandling av personuppgifter inom unionen.

Genom att GDPR ställer höga krav på t.ex. organisationer och bolag som behandlar personuppgifter skyddas den personliga integriteten i den digitala sfär vi idag lever i. Detta innebär att bolag måste implementera strukturerade processer och säkerhetsåtgärder för att säkerställa att behandlingen av personuppgifter efterlever kraven i förordningen. Bolag och organisationer åläggs inte bara att hantera och lagra personuppgifterna på ett säkert sätt, utan de förväntas till exempel också informera individer om syftet med och omständigheterna kring behandlingen.

 

  • Att GDPR gäller för behandling av personuppgifter är något som de flesta känner till. Att namn, personnummer och adress utgör personuppgifter är kanske inte heller något som väcker någon förvåning. Men vad som faktiskt utgör en personuppgift är inte alltid självklart och ofta kan betydligt fler uppgifter än vad många först tror utgöra personuppgifter.

    En personuppgift är all slags information som direkt eller indirekt kan knytas till en levande person. Kravet på att uppgifterna ska kunna knytas till en fysisk person innebär därför att GDPR inte medför något skydd för uppgifter om juridiska personer såsom exempelvis ett bolag. Ett organisationsnummer till en enskild firma utgör dock en personuppgift eftersom numret är knutet till den fysiska personen. GDPR gäller endast för levande personer och skyddar därför inga uppgifter om avlidna personer.

    Några exempel på uppgifter som kan utgöra personuppgifter är IP-adresser, telefonnummer, foto- och videomaterial, ljudinspelningar, medlemskap i politiskt parti, hälsouppgifter samt uppgifter om religiös eller filosofisk övertygelse. Listan på vad som kan utgöra en personuppgift är lång och det avgörande är om uppgiften kan knytas, direkt eller indirekt, till en person. Även om en viss uppgift inte ensamt skulle kunna användas för att identifiera en person kan denna anses utgöra en personuppgift, om det tillsammans med andra uppgifter är möjligt att identifiera personen. Det har bland annat fastställts i England att namn på ett husdjur kan anses utgöra en personuppgift hänförligt till husdjurets ägare då detta kan identifiera en person under vissa omständigheter. 

    Personuppgifter som är krypterade eller kodade utgör också personuppgifter om det finns en nyckel som gör det möjligt att koppla uppgifterna till en person. Så länge det är hypotetiskt möjligt att identifiera en person utgör uppgifterna personuppgifter. Detta innebär att det är fler uppgifter än vad de flesta tror som utgör personuppgifter.

    Det finns vissa typer av personuppgifter som anses vara s.k. känsliga personuppgifter. Några exempel på sådana känsliga personuppgifter är uppgifter om etniskt ursprung, politiska åsikter, hälsa och sexuell läggning. Känsliga personuppgifter är som huvudregel förbjudna att behandla, men det finns undantag från förbudet. Vid behandling av känsliga personuppgifter måste den s.k. personuppgiftsansvarige implementera säkerhetsåtgärder på en högre nivå än vad som krävs för personuppgifter som inte klassificeras som känsliga.

    Det är följaktligen många typer av uppgifter som kan utgöra personuppgifter. Det personuppgiftsansvariga bolaget bör därför vara observant så fort uppgifter som har att göra med en fysisk person hanteras, eftersom GDPR gäller så fort personuppgifterna börjar behandlas.

  • Enligt GDPR finns det vissa definierade aktörer som har olika ansvar för behandlingen av personuppgifter. En sådan aktör är den personuppgiftsansvarige. Generellt är det bolaget som väljer att hantera personuppgifter som är personuppgiftsansvarig för denna s.k. behandling av personuppgifter. Det är den personuppgiftsansvarige som bestämmer vilka personuppgifter som ska behandlas och för vilka ändamål de ska användas. Det är vanligt att ett bolag pekar ut en eller flera anställda som har ansvaret för dataskyddsfrågor inom organisationen. Trots detta åligger personuppgiftsansvaret bolaget, och det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. I artikeln åsyftas vid användningen av begreppet ”personuppgiftsansvarig” ett bolag, även om även fysiska personer i vissa fall kan vara personuppgiftsansvariga.

    Till sin hjälp kan den personuppgiftsansvarige anlita ett personuppgiftsbiträde. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning och utifrån dennes instruktioner. Personuppgiftsbiträdet har alltså inget eget inflytande kring vilka personuppgifter som samlas in och vad dessa ska användas till. Att den som är personuppgiftsansvarig anlitar ett personuppgiftsbiträde innebär inte att personuppgiftsansvaret överlåtits till personuppgiftsbiträdet.

    Ett exempel på ett personuppgiftsbiträde kan vara en extern IT-leverantör, som i och med tillhandahållandet av IT-system och lagring av data kommer att behandla de personuppgifter som dess kund behandlar. Det krävs inte att personuppgiftsbiträdet faktiskt hanterar uppgifterna som denne får del av, utan att personuppgiftsbiträdet lagrar dem på sina servrar kan vara tillräckligt för att ett biträdesförhållande ska uppstå. Att lagra uppgifterna för den personuppgiftsansvariges räkning innebär en behandling av personuppgifter.

    Den enskilde vars uppgifter behandlas av en personuppgiftsansvarig, och i vissa fall av personuppgiftsbiträden, kallas för den registrerade.

  • När det personuppgiftsansvariga bolaget behandlar personuppgifter behöver reglerna i GDPR följas. Begreppet ”behandling av personuppgifter” omfattar i princip allt som kan göras med personuppgifter. Det kan exempelvis vara att registrera dem, lämna ut dem, samla in dem, lagra dem eller radera dem. Utgångspunkten för verksamheten bör därför vara att så fort personuppgifter hanteras på något sätt sker en behandling. Det förekommer väldigt sällan att ett bolag inte behandlar personuppgifter på något sätt då i princip all kontakt med personuppgifter innebär en behandling.

  • Vid behandling av personuppgifter måste bolaget hela tiden ha de grundläggande principerna i GDPR i åtanke. Dessa principer utgör kärnan i förordningen och sätter de övergripande ramarna för vad som utgör en tillåten behandling av personuppgifter. Principerna kan sammanfattas på följande sätt:

    • För att säkerställa en korrekt och laglig behandling av personuppgifter ska det personuppgiftsansvariga bolaget begränsa insamlingen till specifika ändamål och begränsa mängden av personuppgifter som behandlas.
    • Det är endast de personuppgifter som är nödvändiga för det specifika ändamålet som ska behandlas och bolaget ska inte behandla överflödiga uppgifter.
    • När uppgifterna inte längre är nödvändiga för de ursprungliga ändamål som de samlades in för ska de som utgångspunkt raderas eftersom personuppgifter inte ska sparas under en längre tid än vad som är nödvändigt.
    • Det personuppgiftsansvariga bolaget ska se till att skydda personuppgifterna och implementera säkerhetsåtgärder för att förhindra obehörig åtkomst till uppgifterna.
    • Det personuppgiftsansvariga bolaget behöver kunna visa att GDPR följs, vilket betyder att det är viktigt att ta fram dokumenterade processer och rutiner för att kunna bevisa och säkerställa regelefterlevnad.

    Ytterligare en grundläggande princip som det personuppgiftsansvariga bolaget behöver ta hänsyn till innan behandlingen av personuppgifter påbörjas är att det behöver finnas en rättslig grund för behandlingen.

  • För att ett bolag överhuvudtaget ska få behandla personuppgifter behöver det finnas en rättslig grund för behandlingen. Utan en sådan rättslig grund är behandlingen av personuppgifter inte laglig, även om de ovan angivna principerna efterlevs. Enligt GDPR finns det sex rättsliga grunder, dessa är:

    • Samtycke
      Den registrerade har godkänt behandlingen av personuppgifter.
    • Avtal med den registrerade

    Behandlingen är nödvändig eftersom den registrerade har eller ska ingå ett avtal med exempelvis det personuppgiftsansvariga bolaget.

    • Rättslig förpliktelse

    Behandlingen är nödvändig eftersom det följer av lagar eller regler att det personuppgiftsansvariga bolaget måste behandla vissa personuppgifter.

    • Skydda grundläggande intresse

    Behandlingen är nödvändig för att skydda en registrerad i situationer då denna är inkapabel att lämna samtycke till behandlingen.

    • Myndighetsutövning och uppgift av allmänt intresse

    Personuppgifterna behöver behandlas för att kunna utföra en uppgift av myndighetsutövning eller uppgift av allmänt intresse.

    • Intresseavvägning

    Den personuppgiftsansvariges intresse av att behandla uppgifterna väger tyngre än den registrerades intresse av att inte få sina uppgifter behandlade.

    Vilken rättslig grund som är lämplig att stödja sin behandling på beror dels på vem det är som är personuppgiftsansvarig, dels på syftet med behandlingen. Vilken typ av registrerade det rör sig om kan också spela roll för valet av rättslig grund, t.ex. anses anställda sällan kunna lämna ett giltigt samtycke till arbetsgivares personuppgiftsbehandling då maktförhållandet mellan dessa parter anses vara alldeles för ojämnt. Det finns därutöver en viss skillnad mellan privata verksamheter och myndigheter avseende vilka rättsliga grunder de har möjlighet att stödja sin behandling på.

    De registrerade ska få information om vilken rättslig grund den personuppgiftsansvarige stödjer sin behandling av personuppgifter på, och därför är det viktigt att fastställa den rättsliga grunden redan innan behandlingen av personuppgifter påbörjas. Beslutet att välja en viss rättslig grund samt hur den personuppgiftsansvarige resonerat när den rättsliga grunden valts bör dokumenteras.

    En rättslig grund som ofta används av privata verksamhetsutövare är intressevägning. Ett bolag kan exempelvis ha ett berättigat intresse att behandla sina kunders mejladresser i syfte att kunna skicka ut nyhetsbrev per mejl och på så sätt marknadsföra sina produkter. Bolaget kan ha gjort bedömningen att deras intresse att marknadsföra sina produkter väger tyngre än den enskildes intresse av att inte få ett reklammejl. Det krävs att det finns en rättslig grund för varje specifikt ändamål som personuppgifterna behandlas för. Ska bolaget använda sina kunders mejladresser för andra ändamål än marknadsföring krävs alltså att även detta ändamål stödjs av en rättslig grund för att behandlingen ska vara laglig.

    Samtycke är en rättslig grund som ofta används felaktigt. Att använda sig av samtycke som rättslig grund för behandling av personuppgifter är någonting som ofta bör undvikas så långt som möjligt. Det är först om det inte går att stödja personuppgiftsbehandlingen på någon av de andra fem grunderna som det bör övervägas att använda sig av samtycke från den registrerade som rättslig grund. Anledningen till detta är följande.

    Bolag som behandlar personuppgifter anser sig ofta ha fått ett samtycke till behandling så länge kunderna frivilligt har lämnat ifrån sig sina uppgifter. Det räcker dock inte att den registrerade har accepterat eller frivilligt överlämnat sina uppgifter för att ett giltigt samtycke ska anses föreligga. Anledningen till att samtycke felaktigt används i många fall är antagligen för att det finns en diskrepans mellan begreppet samtycke såsom det används i vardagligt sammanhang och begreppet samtycke enligt GDPR.

    För att det ska föreligga ett giltigt samtycke enligt GDPR krävs att särskilda krav är uppfyllda. Samtycket behöver föregås av information om behandlingen och vara frivilligt, och det ska vara lika lätt för en registrerad att återkalla sitt samtycke som att lämna det. Detta innebär att bolag som använder sig av samtycke ofta behöver ha lättillgängliga blanketter eller formulär där den registrerade enkelt kan återkalla sitt samtycke. Återkallar den registrerade sitt samtycke behöver dessutom all behandling av de personuppgifter som sker med stöd av samtycket upphöra, vilket kan ställa till med stora problem om bolaget t.ex. behöver den registrerades uppgifter för att kunna leverera en produkt eller för sin bokföring. Av dessa anledningar är det mer lämpligt för den personuppgiftsansvarige att om möjligt stödja sin behandling av personuppgifterna på en annan rättslig grund än samtycke.

  • Att återkalla sitt samtycke till behandling av personuppgifter, vilket tvingar den personuppgiftsansvarige att upphöra med behandlingen, är en av de rättigheter som registrerade har enligt GDPR. Registrerade har därutöver ett antal rättigheter, bland annat:

    • Registrerade har rätt att få ta del av vilka uppgifter som den personuppgiftsansvarige behandlar.
    • Registrerade har rätt att få sina uppgifter rättade om de är felaktiga.
    • I vissa fall har registrerade även rätt att kräva att den personuppgiftsansvarige ska radera uppgifterna. Rätten till radering är dock inte absolut och det finns situationer då en personuppgiftsansvarig kan fortsätta behandla uppgifter trots att den registrerade har begärt att dessa ska raderas.
    • Registrerade har vidare rätt att få information om hur personuppgiftsbehandlingen går till, vilket innebär att den personuppgiftsansvarige har en skyldighet att informera de registrerade om behandlingen. Det var registrerades rätt till information som medförde det stora utskicket av mejl med information när GDPR började tillämpas år 2018.

  • Att den registrerade har rätt att få information om huruvida dennes personuppgifter behandlas innebär motsatsvis en skyldighet för den personuppgiftsansvarige att kunna förse den registrerade med sådan information. Informationen ska bland annat klargöra vilka personuppgifter bolaget behandlar, för vilka ändamål de behandlas, vilken rättslig grund bolaget stödjer sin behandling på samt hur länge uppgifterna kommer att behandlas.

    För att uppfylla kravet på information till de registrerade behöver bolag ta fram dataskyddsinformation, ofta benämnt integritetspolicy, privacy policy eller privacy notice – kärt barn har många namn. En integritetspolicy är oftast ett dokument eller en informationstext på en hemsida som den registrerade blir hänvisad till för att ta del av information om hur dennes personuppgifter behandlas. Det är inte ovanligt att integritetspolicyn tillhandahålls i anslutning till ett bolags allmänna villkor i samband med att den registrerade genomför ett köp.

    Vilken information en integritetspolicy behöver innehålla finns stadgat i GDPR och det är alltså inte upp till bolaget att avgöra vilken information som den registrerade ska förses med. Finns inte information om alla de punkter som räknas upp i GDPR med i integritetspolicyn uppfyller inte bolaget sin informationsskyldighet gentemot de registrerade. För att säkerställa att den integritetspolicy som framtagits verkligen uppfyller kraven i GDPR är det en god idé att låta en jurist med inriktning på dataskydd läsa igenom policyn och kontrollera dess överensstämmelse med kraven.

Varför är det viktigt att följa GDPR?

Det finns många anledningar till varför det är viktigt att efterleva kraven i GDPR. Att ett bolag värnar om sina kunder och samarbetspartners personliga integritet är inte bara något som kan skapa goodwill för verksamheten, utan det minskar även riskerna för att behöva betala sanktionsavgifter för bristande regelefterlevnad av GDPR.

Sanktionsavgifter vid bristande regelefterlevnad av GDPR kan för privata verksamheter uppgå till 20 miljoner euro, eller fyra procent av den globala årsomsättningen för koncernen, beroende på vilken summa som är högst. Under år 2022 vann ett svenskt beslut mot Google laga kraft, vilket innebar att bolaget påfördes en sanktionsavgift om 50 miljoner kronor med anledning av att bolaget vid sin hantering av personuppgifter brutit mot rätten att få sökresultat borttagna.

En registrerad som upplever att dennes personuppgifter har behandlats felaktigt har rätt att inge klagomål till Integritetsskyddsmyndigheten (”IMY”) som är den svenska tillsynsmyndigheten som kan inleda tillsyn hos bolag för att kontrollera efterlevnaden av GDPR. IMY är även en myndighet som beslutar om att ålägga sanktionsavgifter. IMY bedriver en klagomålsbaserad tillsyn, vilket innebär att varje klagomål som inkommer från enskilda måste bedömas och kan leda till tillsyn och sanktionsavgifter. IMY:s beslut kan överklagas till förvaltningsrätten.

IMY har under år 2023 lanserat en e-tjänst som gör det möjligt för enskilda att skicka in klagomål via IMY:s hemsida. Tjänsten utformades för att på ett effektivt sätt kunna hantera inflödet av klagomål till myndigheten. Av IMY:s senaste årsredovisning framgår att myndigheten under år 2022 hanterat cirka 15 800 nationella ärenden, varav cirka 2 400 avser klagomål från enskilda. Jämfört med tidigare år har resurserna som lagts på tillsyn mer än fördubblats. Sedan GDPR började tillämpas har IMY mer än fördubblat sin personalstyrka och myndigheten meddelade inför år 2023 att den har för avsikt att rekrytera ytterligare 50 nya medarbetare.

Mot bakgrund av detta kan konstateras att IMY:s möjligheter att inleda fler tillsynsärenden kommer öka.  Samtidigt kommer det bli lättare för enskilda att inkomma med klagomål genom den nya e-tjänst som lanserats under året. Eftersom myndigheten har en skyldighet att bedöma alla klagomål som inkommer är det av stor vikt för verksamheter att försöka förebygga förekomsten av klagomål. Detta kan bland annat göras genom att se till att ha relevant och uppdaterad information om sin personuppgifts-behandling tillgänglig för dem vars personuppgifter bolaget behandlar.

Även om risken för sanktionsavgifter kan vara ett starkt incitament till varför ett bolag bör följa GDPR är det kanske inte det tyngst vägande argumentet för alla bolag. Att kontinuerligt arbeta med dataskydd i verksamheten och att värna om den personliga integriteten för kunder och andra som bolaget kommer i kontakt med har i många fall visat sig lönsamt för affärsnyttan. Det skapas ett förtroende för bolaget hos kunder och andra om de registrerade känner sig trygga med hur deras personuppgifter behandlas. Motsatsvis kan det innebära en stor skada för ett bolag som inte tar integritetsfrågor på tillräckligt stort allvar. En incident där personuppgifter läckt eller på annat sätt behandlats felaktigt riskerar att rasera förtroendet för varumärket och det är inte ovanligt att rapportering om sådana händelser får stor uppmärksamhet i media. Att undvika renomméskada är därför ännu en anledning att tillse att bolagets personuppgiftsbehandling sker i enlighet med tillämpliga lagar.

Sammanfattande kommentarer

GDPR kan av många upplevas som ett krångligt och svårförstått regelverk. Men vi vågar påstå att dess betydelse ökar för varje dag som går. Allt fler privatpersoner är medvetna om sina rättigheter enligt förordningen, och det är inte ovanligt att de registrerade ställer krav på de bolag som behandlar deras personuppgifter. Att ett gediget arbete med personuppgiftsbehandling kan öka bolagets goodwill är helt klart. Men att behandla personuppgifter korrekt kan också bespara bolaget från att behöva betala stora summor i sanktionsavgifter.

I en tid där fler privatpersoner är medvetna om sina rättigheter, där IMY lanserat en tjänst som gör det enklare att framföra klagomål och IMY utreder fler ärenden än någonsin bör de bolag som inte redan har sin personuppgiftbehandling i ordning därför se till att ta dataskyddsarbetet på allvar och säkerställa att verksamheten har ett tillräckligt skydd för de personuppgifter som behandlas.

En av de första åtgärder som ett bolag som inte har sin personuppgiftbehandling under kontroll bör göra är att upprätta en integritetspolicy. Policyn syftar, som tidigare nämnt, till att uppfylla informationskravet gentemot de registrerade. Avsaknaden av en integritetspolicy kan, trots att personuppgiftsbehandlingen är korrekt i övrigt, väcka uppmärksamhet och frågor från registrerade som ifrågasätter huruvida deras rättigheter tas tillvara.

Det ska avslutningsvis nämnas att det ovanstående endast är en övergripande sammanfattning av vissa frågor kring GDPR. Denna artikel utgör alltså inte juridisk rådgivning i ett enskilt fall.

Om artikelförfattaren

Ida Hjorth ingår i Lindahls kompetensgrupp för GDPR & Dataskydd. Frågor om GDPR? Kontakta Ida. Vi på Lindahl har stor erfarenhet inom dataskyddsarbete.

Registrera dig för e-postutskick

Prenumerera på Lindahls nyhetsbrev!

Besök sidan

GDPR & Dataskydd

I samband med samhällets digitalisering har behandlingen av personuppgifter blivit en förutsättning – och ett självständigt värde – för företags, myndigheters och andra organisationers verksamheter. Parallellt med detta har kraven på att skydda anställdas och kunders integritet ökat väsentligt.

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse