Tre steg närmare strategi och praktisk riskhantering i en legal miljö med striktare krav och sanktioner
Nyheterna om den kommande dataskyddsförordningen duggar tätt och rubriker om hårdare krav och mångmiljonsanktioner varvar varandra. Att integritet och dataskydd seglat högt upp på både den legala och affärsmässiga agendan är välförtjänt – i informationssamhället är kunskap om kunder och användare hårdvaluta. Parallellt med att medvetenheten och motståndet mot integritetskränkande övervakning ökar så kan man se en ökad vilja att dela med sig av data och information för att erhålla bättre produkter och lösningar. Begrepp som e-hälsa, platsspecifika tjänster och det uppkopplade hemmet bygger alla på att det finns ett intresse för de lösningar som erbjuds. Att förhålla sig till integritet och dataskydd handlar lika mycket om legal ”compliance” som att ta fram nya sätt att finna balans i tillitsekvationen i förhållande till kunder och användare.
Oavsett vad man tycker om slutresultatet har den framtida spelplanen för hantering av personuppgifter reglerats på EU-nivå genom antagandet av den nya dataskyddsförordningen. De uttalade målen har varit att ge medborgaren kontroll över sina personuppgifter och att skapa ett enhetligt europeiskt regelverk. Rättigheterna på medborgarnivå återspeglas för företag genom mer omfattande och striktare krav på hantering av personuppgifter. Både som entreprenör i en start-up och som compliance-ansvarig på ett multinationellt företag har man nu att anpassa och förbereda sig. I detta är det lätt att stirra sig blind på förändringarna i jämförelse med nuvarande personuppgiftslag och särskilt då de uppseendeväckande sanktionerna på upp till det högre av fyra procent av företagets globala omsättning eller 20 miljoner Euro. Trots kraven och sanktionerna kommer det dock fortfarande finnas möjligheter till omfattande datainsamling och analys av relativt känsliga uppgifter så länge det sker på ett genomtänkt och transparent sätt med strategiskt utformade ändamål och samtycken. En stor del av de senaste årens tekniska utveckling av nya tjänster, inte minst inom känsliga områden såsom exempelvis e-hälsa, har varit pådriven av analys av s.k. överskottsinformation. I motsats till mångas uppfattning kommer det finnas möjligheter även till detta i framtiden. Det kräver dock att integritetsperspektivet lyfts in som en given del av affärsmodellen för att lagenligt kunna fortsätta en sådan utveckling. Och den som gör det kommer att ha skarp konkurrensfördel när dataskyddsförordningens krav träder i kraft 2018.
Men PuL och framförallt dataskyddsförordningen ger så mycket mer vägledning än så. Med utgångspunkt i förordningens struktur och de s.k. hanteringsreglerna ges verktyg för att både uppfylla existerande och nya krav samt för implementering av processer som säkerställer långsiktig compliance. På Morris ser vi den här processen i tre övergripande steg som var för sig bidrar till uppfyllandet av ett stort antal krav i PuL respektive dataskyddsförordningen.
Steg 1 – Identifiera data och ändamål
Såväl nuvarande som kommande reglering tar sin utgångspunkt i ändamålen med personuppgiftsbehandlingen. Detta ligger helt i linje med ett rent affärsmässigt förhållningssätt där man som företagare bör fråga sig varför data samlas in och sparas. Genom att ta sin utgångspunkt i vad man affärsmässigt vill uppnå med insamling och behandling av data ges en övergripande ändamålsbeskrivning och en helhetsbild över vilken data som behövs för att uppnå de affärsmässiga målen. Det är lätt att glömma det övergripande perspektivet och istället dyka rakt ner på detaljkrav som är väldigt svåra att uppfylla utan att se helheten. En väl genomförd identifiering av data och ändamål kommer möjliggöra övergripande uppfyllande av kraven relaterade till:
- Ändamålsbegränsning (artikel 5.1 (b)), som anger att endast sådan behandling som krävs för att uppnå ändamålen är tillåten.
- Dataminimering (artikel 5.1 (c)), som på motsvarande sätt anger att endast sådan data som krävs för att uppnå ändamålen får samlas in. Begreppet och begränsningen står i tydlig kontrast till s.k. data mining där målet är att utvinna data för framtida syften, även om den nödvändigtvis behöver vara helt otillåten.
- ”Privacy by design and by default” (artikel 23), som betyder att verksamhet, affärsmodell, teknisk plattform etc. ska vara utformad för att respektera integriteten och att variabler som utgångspunkt ska vara inställda mot integritet och inte tvärtom.
Steg 2 – Upprätta en strategisk förteckning
Med utgångspunkt i den data man vill behandla och för vilka ändamål bör en strategisk förteckning över verksamhetens personuppgiftsbehandlingar upprättas. Kravet att föra en förteckning återfinns redan i dagens PuL och breddas väsentligt i och med den nya förordningen. Men istället för att upprätta en förteckning endast i enlighet med lagkraven kan förteckningen utgöra verktyget som säkerställer långt mycket mer än regelefterlevnad, och som ger en konkurrensfördel.
Att upprätta en förteckning av en verksamhets personuppgiftsbehandlingar innebär i praktiken en genomlysning för att hitta existerande register följt av en bedömning av dessas användning. Genom att för vart och ett register ange innehåll, ändamål, samtycke, ägare, användare osv. ges relativt snabbt en överblick av lagligheten samtidigt som all information finns omedelbart tillgänglig om Datainspektionen knackar på dörren eller en registrerad individ begär utdrag ur registren. Med en strategisk förteckning möjliggörs ett praktiskt och rättsligt uppfyllande av såväl nuvarande och kommande krav avseende:
- Grundprinciperna om bl.a. laglighet, transparens, korrekthet, integritet och sekretess (artikel 5)
- Samtycke (artikel 6.1 (a)), bl.a. i förhållande till ändamål (artikel 7), ev. känsliga uppgifter (artikel 9) och överföring till tredje land (artikel 40-45)
- Intresseavvägning (artikel 6.1 (f)) och andra alternativa lagliga grunder för behandling
- Riskanalyser (artikel 33-34), bl.a. i förhållande till tekniska säkerhetsåtgärder (artikel 23 och 30)
- Organisatorisk säkerhet (artikel 23 och 30), kopplat till intern access till personuppgifterna och eventuell extern access och biträdesrelationer (artikel 26).
- Utlämnande av uppgifter på begäran, inklusive s.k. dataportabilitet (artikel 14-15, 18)
- Gallring (artikel 16-17), bl.a. kopplat till ändamålen.
Steg 3 – Utforma en anpassad policy
Steg 1 och 2 kommer tillsammans att ge en god och strukturerad bild av vilken data som verksamheten ska arbeta med, vad som faktiskt samlas in och bearbetas. Denna bild exponerar även luckor i form av vad som görs i strid med lagstiftning och var den största exponeringen för risker finns. Utifrån den väl förankrade kunskapen kan en policy adressera personuppgiftsfrågan tvådelat, dels genom att förstärka och utveckla den lagliga personuppgiftshanteringen, dels genom att minimera legala risker samt integritetsrisker i förhållande till kunder, användare och andra kontakter. Genom att låta policyn även inkludera perspektiv såsom informationssäkerhet och incident- respektive krishantering täcks både möjligheterna och riskerna med personuppgiftshantering.
DO’s
Sammanfattningsvis ger de tre stegen ett ramverk för att initiera ett affärsorienterat och framtidssäkrat arbete med integritet och data, vilket efterhand övergår i ett kontinuerligt compliance-arbete. Avslutningsvis vill vi nämna några ”Do’s” och lite läsvärt material.
- Äg frågan om dataskydd
- Var aktiv och tilldela ansvaret för dataskydd till den som har såväl legalt som affärsmässigt mandat
- Anpassa den tekniska plattformen
- Tekniken och dess användning är avgörande för såväl möjligheter som risker – ”Privacy by design” kan gå hand i hand med affärsmålen.
- Compliance = Competitive edge
- Spelplanen är satt, med striktare regler och hårdare sanktioner kommer den som hanterar kraven mest strategiskt ut som vinnaren.
- Förbered dig.
- Regeringen gör det, försäkringsbolagen gör det, Datainspektionen gör det, handeln och Teknikföretagen gör det. Ju förr frågan adresseras, desto större chanser att förberedelserna blir kostnadseffektiva och når önskat resultat samtidigt som implementeringen blir minimalt störande för verksamheten.
VILL DU VETA MER? KONTAKTA GÄRNA OSS PÅ MORRIS LAW.
HENRIK ALMSTRÖM
Associate
Telefon: +46 10 722 36 12
Mobil: + 46 738 26 47 75
E-post: henrik.almstrom@morrislaw.se