Personuppgifter hanteras i dag av ett stort antal leverantörer, system och externa tjänster. För många organisationer innebär det att delar av behandlingen sker hos ett personuppgiftsbiträde.
Men vad händer om ett biträde inte följer reglerna?
Ett nyligen uppmärksammat sanktionsbeslut från en europeisk dataskyddsmyndighet visar hur allvarliga konsekvenserna kan bli. Ett teknikbolag som arbetade med analys av användardata fick en sanktionsavgift på motsvarande mer än tio miljoner kronor efter att stora mängder personuppgifter visat sig vara lagrade i en osäkrad miljö långt efter att samarbetet avslutats.
Fallet visar hur flera vanliga brister i GDPR-arbetet kan leda till stora risker, både för den organisation som äger uppgifterna och för leverantören som behandlar uppgifterna.
När ett samarbete mellan en organisation och ett personuppgiftsbiträde avslutas ska personuppgifterna raderas eller återlämnas, enligt vad som avtalats i personuppgiftsbiträdesavtalet.
Detta framgår av artikel 28.3 i GDPR, där det anges att personuppgiftsbiträdet vid tjänstens upphörande ska radera eller återlämna personuppgifterna till den personuppgiftsansvarige samt radera befintliga kopior, om inte lagring krävs enligt unionsrätt eller nationell rätt.
I praktiken är detta en punkt där många organisationer tappar kontrollen.
Det kan till exempel handla om att:
I det aktuella sanktionsfallet visade utredningen att personuppgifter fortfarande fanns lagrade hos leverantören flera år efter att samarbetet upphört.
Problemet var inte bara att uppgifterna fanns kvar, utan att de dessutom låg i en osäkrad miljö, vilket ökade risken för obehörig åtkomst.
För organisationer innebär detta en tydlig påminnelse: det räcker inte att skriva i avtalet att data ska raderas. Man måste också säkerställa att det faktiskt sker i praktiken.
Ett annat vanligt problem är användningen av riktiga personuppgifter i testmiljöer.
I många tekniska organisationer kopieras data från produktionssystem till utvecklingsmiljöer för att testa nya funktioner, analysera systemprestanda och utveckla nya produkter. Men enligt artikel 29 i GDPR får ett personuppgiftsbiträde endast behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige.
Om data kopieras till en testmiljö utan sådana instruktioner, eller utan att uppgifterna anonymiseras eller pseudonymiseras, kan det innebära att personuppgifterna används för andra syften än de ursprungligen samlades in för.
I det aktuella sanktionsbeslutet ansåg myndigheten att leverantören hade använt kunddata i sina egna utvecklingsprocesser utan godkännande, något som ansågs vara en allvarlig överträdelse.
Detta är ett område där många organisationer underskattar risken.
Testmiljöer har ofta:
Vilket gör dem särskilt känsliga ur ett dataskyddsperspektiv.
GDPR kräver att organisationer dokumenterar sina behandlingar av personuppgifter i ett register över behandlingsaktiviteter.
Detta gäller även för personuppgiftsbiträden.
Kravet framgår av artikel 30 i GDPR, som anger att både personuppgiftsansvariga och personuppgiftsbiträden ska föra ett register över behandlingsaktiviteter som utförs under deras ansvar.
Registret ska bland annat innehålla:
I det aktuella beslutet konstaterade dataskyddsmyndigheten att leverantören saknade ett formellt register över sina behandlingsaktiviteter i egenskap av personuppgiftsbiträde.
Detta försvårade Intern kontroll, incidenthantering, och myndighetens utredning. En uppdaterad registerförteckning är därför inte bara en dokumentationsfråga, den är också central för att kunna visa att organisationen faktiskt följer GDPR.
Sanktionsavgiften i det aktuella fallet motiverades av flera faktorer:
Även om uppgifterna inte var helt nya ansåg myndigheten att de fortfarande innebar en risk, bland annat eftersom de kunde användas för riktade nätfiskeförsök.
Beslutet visar också att organisationer inte kan skylla på enskilda anställda.
Enligt GDPR ansvarar organisationen för hur personuppgifter hanteras inom verksamheten. Dette henger nära samman med principen om ansvarsskyldighet (accountability) i artikel 5.2, vilket innebär att organisationer inte bara ska följa reglerna, utan också kunna visa hur de gör det i praktiken.
För många organisationer ligger den största risken inte i ett enskilt system – utan i bristen på struktur kring hur leverantörer hanterar personuppgifter över tid.
Några viktiga frågor att ställa är:
När organisationer saknar överblick över dessa frågor ökar risken för incidenter – och i förlängningen även för tillsyn och sanktionsavgifter.
Ett personuppgiftsbiträdesavtal är en viktig del av GDPR-arbetet. Men avtalet i sig räcker inte. Organisationer behöver också ha:
När dessa delar saknas är det lätt att problem uppstår långt efter att ett projekt eller samarbete har avslutats.
Och då kan konsekvenserna bli betydligt större än många organisationer räknar med.
Vill ni resonera kring hur ni kan stärka kontrollen över personuppgiftsbiträden och minska riskerna i ert dataskyddsarbete är ni alltid välkomna att höra av er för en dialog: