Tre år med GDPR – så klarar ni kontrollerna

Publicerat 25 maj, 2021
25 maj 2021 är det tre år sedan dataskyddsförordningen, GDPR, började tillämpas. För att skydda EU-medborgarnas integritet på nätet. Nu börjar Integritetsskyddsmyndigheten, IMY, granska hur väl företagen följer den. Och kan bötfälla de som inte gör det.

– Det spelar ingen roll om en redovisningsbyrå låter ett annat företag sköta deras informationsrutiner och det företaget gör fel. Ansvaret för att GDPR följs i alla led vilar i alla fall på redovisningsbyrån. I sammanhanget kan det vara skönt att veta att det inte är så svårt att göra rätt, konstaterar juristen Carin Wenner som bland annat föreläst om GDPR vid vårens kursnyhet Srf Konsultvecka.

IMY hette tidigare Datainspektionen. Det är myndigheten som kontrollerar så att GDRP, och dess löpande justeringar, följs av svenska privatpersoner och företag. Här fokuseras på företagen.

– Jag hjälper just nu tre kunder med hantering av tillsyn, som det kallas när IMY granskar något som kan bryta mot GDRP. Med tanke på att lagen kom 2016 men implementerades först i maj 2018 tycker lagstiftaren att företagen nu har haft tillräckligt med tid på sig för att skapa rutiner för att göra rätt. Därför ökar nu takten på granskningen, utvecklar Carin Wenner.

Ett tillsynsärende hos IMY kan initieras på tre sätt: Man väljer att granska en viss bransch eller ny teknik, en misstänkt incident eller medierapportering kommer till IMY:s kännedom, en privatperson gör en anmälan. Böterna kan maximalt bli fyra procent av företagets omsättning eller maximalt cirka 200 miljoner kronor (omräknat från Euro).

Centrala begrepp

I exemplet i ingressen är det redovisningsbyrån som är personuppgiftsansvarig. Informationsföretaget är personuppgiftsbiträde. Men eftersom en byrå som arbetar med redovisning och löner hanterar mycket av andra företags information är byrån oftare personuppgiftsbiträde. Byråns kund är då personuppgiftsansvarig. Det ska finnas avtal som reglerar och intygar hur båda parter arbetar för att följa GDPR.

– Här gäller det att byrån hjälper sin kund att förstå vad GDPR innebär och hur byrån kan hjälpa kunden att göra rätt. Det kan mycket väl vara en tjänst i sig. Samtidigt ska byrån hantera sin roll som biträde på rätt sätt. Av allt jag ser på marknaden och under mina utbildningar skulle jag säga att väldigt få gör detta korrekt, de allra flesta byråer saknar biträdesavtal.

Lätt att göra rätt

Grundprincipen i GDPR är att man bara får lagra det man behöver för att fullgöra sitt uppdrag. En redovisningsbyrå eller lönebyrå behöver exempelvis lagra kontouppgifter, uppgifter som säkerställer identiteter, protokoll och mötesanteckningar med idéer inför framtiden. Men knappast läkarintyg om någons tidigare sjukskrivning.

– Redovisningskonsulter och lönekonsulter är bra på rutiner. För att följa GDPR behöver man i grunden ”bara” veta vilka rutiner som omgärdar informationshantering. Och skriva en policy för hur de ska följas, kontrolleras och hur avvikelser ska hanteras. Man kan till exempel anpassa sitt affärssystem så att det inte finns plats för onödig information där. Men kan ju börja med att inventera vilka uppgifter man får in i dag och hur mycket av dessa man behöver för att kunna göra jobbet, säger Carin Wenner.

Konkreta tips

Carin Wenner har en rad konkreta tips för den som vill ta tag i sitt GDPR-arbete:

  • Fundera över användningen av mejl, använd inte mejlboxen som lagringsyta. Mejla aldrig intyg från läkare eller psykolog, om de måste sparas ska de ligga på en säker server där ett fåtal personer kan se dem.
  • Ha koll på intern personuppgiftshantering och vilka uppgifter som behövs – rensa bort resten.
  • Ta reda på vilka som är de känsligaste uppgifter ni behandlar och prioritera dem.
  • Ställ frågorna: Finns avtal med leverantörer? Skyddar vi uppgifter internt så att de inte försvinner, ändras eller förstörs? Ställer vi krav på våra leverantörer att skydda sina uppgifter på samma sätt? Vet alla på företaget hur personuppgifter ska hanteras?
  • Skapa interna processer, rutiner och information att visa IMY vid eventuell tillsyn.

Mer information

Checklista IMY: Föra register över personuppgiftsbehandlingar | IMY

Frågor och svar, IMY: Vanliga frågor och svar | IMY

Har ni programvara för att underlätta GDPR-efterlevnad bör den synka uppdateringar mot EDPB (European Data Protection Board/Europeiska dataskyddsstyrelsen): EDPB, European Data Protection Board (europa.eu)

Verksamhet utanför EU? Lagring på molnet utanför EU? Då råder skarpare regler: Överföring till tredje land | IMYSchrems II-domen och överföringar till tredje land | IMY 

 
30
sep
30 sep

Årsredovisning

Årsredovisning samt eventuell revisionsberättelse för bokslut 2021-02-28 ska ha kommit in till Bolagsverket. 

Läs mer
Gå till kalendariet Lägg till i kalender