Har organisationen en uppdaterad integritetspolicy?
De registrerade (dvs. de vars personuppgifter ni behandlar) har rätt till information om vilka personuppgifter som behandlas av er samt hur de behandlas, i enlighet med artikel 13 och 14 GDPR
En bristfällig eller utdaterad policy är ofta det första som leder till kritik från IMY. Att ha en lagenlig integritetspolicy handlar inte bara om att "ha ett dokument", utan om att faktiskt informera de registrerade på ett begripligt sätt. Börja med att kartlägga era dataflöden för att identifiera exakt vilka personuppgifter ni behandlar, hur ni behandlar dem, varför ni behandlar dem och vilken rättslig grund ni använder, och informera sedan de registrerade om detta. Glöm inte att ange vem som potentiellt är mottagare av uppgifterna samt hur länge ni lagrar dem. Viktigast av allt är information om vilka rättigheter de registrerade har, vart de kan vända sig hos er för att utöva dessa rättigheter samt att de kan vända sig direkt till IMY vid eventuella klagomål.
Ja vi har en uppdaterad integritetspolicy som är lättillgänglig
Delvis. Vi har en översiktlig policy som vi inte uppdaterar så ofta
Policyarbetet pågår
Nej vi har ingen sådan policy tillgänglig
Finns det en skriftlig förteckning (registerförteckning) över samtliga personuppgiftsbehandlingar i organisationen?
Enligt artikel 30 GDPR är varje organisation skyldig att upprätta och löpande uppdatera en sådan förteckning.
Utan en fullständig förteckning är det omöjligt att visa att ni följer GDPR (ansvarsskyldigheten) och det blir också svårt att bedöma vilken av dessa behandlingar ni behöver göra en konsekvensbedömning (DPIA) på. Börja med att kartlägga era processer. Fundera på vilka situationer ni hanterar personuppgifter i (behandlingar). Vanliga områden är exempelvis personal/HR (rekrytering, personalakter), kundhantering/sälj (kundregister, offerter, supportärenden), marknadsföring (nyhetsbrev, cookies på webbplatsen, event) eller kanske ekonomi (fakturering, bokföring). Dokumentera sedan de i artikel 30 obligatoriska uppgifterna dvs. namn på behandlingen, ändamål, kategorier av registrerade, kategorier av personuppgifter, potentiella mottagare, rättslig grund för behandling, gallringstid samt säkerhetsåtgärder.
Ja vi har en fullständig förteckning som uppdateras löpande vid alla ändringar.
Delvis. Vi har en förteckning, men den uppdateras bara vid helt nya projekt.
Nej men vi har koll ändå
Vet ej. Jag är osäker på om en sådan förteckning existerar i vår organisation.
Har organisationen en process för att identifiera när en konsekvensbedömning avseende dataskydd behöver göras samt genomföra och följa upp den (t.ex. vid ny teknik eller hög risk)?
Om en behandling innebär hög risk för fysiska personers fri- och rättigheter, ska man göra en konsekvensbedömning (DPIA) innan man påbörjar en sådan behandling, i enlighet med artikel 35 GDPR.
Om ni inför nya system eller processer utan att bedöma riskerna kan det leda till kostsamma sanktionsavgifter och enskilda skadestånd i efterhand. Ni behöver först göra en tröskelbedömning för att avgöra när en fullständig DPIA krävs. En konsekvensbedömning har sedan tre centrala komponenter:
Riskbedömning: Man ser till riskerna för de registrerades fri- och rättigheter. Kärnan i bedömningen är att identifiera potentiella hot mot individers integritet, till exempel risk för obehörig åtkomst, förlust av data eller att data används på ett sätt som individer inte kan förutse. Konsekvensanalys: Vilka konsekvenser kan ovan nämnda risker få för de registrerades fri- och rättigheter. Detta handlar om att förstå hur allvarligt det skulle vara för de berörda personerna om en incident skulle inträffa. Riskminimering: Man identifierar vilka åtgärder man behöver vidta för att minska dessa risker och konsekvenser. Detta kan vara tekniska åtgärder som kryptering eller organisatoriska åtgärder som att införa striktare behörighetskontroller.
Ja, vi har en tydlig process för att identifiera och genomföra DPIA:er
Vi gör det sporadiskt vid större projekt
Vi arbetar på att ta fram en process
Nej, vi genomför inga konsekvensbedömningar
Kan ni hantera de registrerades rättigheter inom 30 dagar?
GDPR ger individer rättigheter såsom tillgång, rättelse och radering, vilket måste hanteras inom en månad.
Manuella processer är sårbara för personberoende och mänskliga fel. Skapa en standardiserad checklista/rutin för hur ni snabbt drar ut, rättar eller raderar data på begäran och se till att all berörd personal är medveten om rutinen/checklistan och den lagstadgade tidsfristen så att de kan prioritera uppgiften när den uppstår. Utgå alltid från er registerförteckning när ni hanterar registrerades rättigheter.
Ja, vi har fastställda rutiner för samtliga rättigheter
Vi hanterar förfrågningar manuellt när de dyker upp
Vi arbetar på det
Nej, vi saknar rutiner för detta
Har personalen fått utbildning i dataskydd?
Organisationer måste säkerställa att alla som har tillgång till personuppgifter, inklusive bolagets ledande organ, är utbildade kring sitt ansvar och de risker som finns.
Teknik i all ära, men om personalen inte vet vad en personuppgift är hjälper inga brandväggar. I verkligheten är personalen er absolut starkaste försvarslinje eller er största svaghet. Mänskliga faktorn ligger bakom den största majoriteten av alla personuppgiftsincidenter som rapporteras till IMY. En utbildad medarbetare har de "digitala skyddsglasögonen" på och stoppar misstagen innan de sker. Om en incident väl inträffar har ni enligt GDPR bara 72 timmar på er att rapportera den till IMYvid behov. Om personalen inte vet vad en personuppgiftsincident är eller om ni inte har välkända och vedertagna rutiner på plats för att kunna hantera incidenter när de uppkommer, riskerar ni dyra sanktionsavgifter och enskilda skadestånd. Att kunna visa upp genomförda utbildningar är ett av de tyngsta bevisen för att ni har gjort vad som krävs enligt ansvarsskyldigheten och på så sätt gardera er mot sanktionsavgifter eller andra administrativa påföljder.
Ja, all personal får regelbunden och dokumenterad utbildning
Varje nyanställning får utbildning vid on-boardingen
Vi planerar ett utbildningsprogram
Ingen utbildning har genomförts
Har ni reglerade avtal med alla era leverantörer och partners?
Enligt GDPR (artikel 24, 26, 28 och 32) måste samarbeten med externa parter som rör personuppgifter regleras genom avtal, oavsett om det rör biträden, gemensamt ansvariga eller oberoende personuppgiftsansvariga.
Utan avtal har ni ingen kontroll över vad partnern gör med datan. Korrekt avtal säkerställer att partnern endast gör det ni instruerat dem att göra, inte använder datan för egna syften, har tillräcklig säkerhet för att skydda era uppgifter samt informerar er om de drabbas av exempelvis dataintrång. Om en tillsyn av IMY sker eller om en läcka inträffar och ni saknar avtal, ses det som ett allvarligt strukturellt fel. Det tolkas som att ni inte har kontroll över er verksamhet. Det är då de stora sanktionsavgifterna blir aktuella, eftersom ni medvetet (eller genom grov oaktsamhet) har hanterat människors personuppgifter utan att reglera säkerheten. Börja med att utreda vilket förhållande ni har till er partner dvs. rör det sig om ett personuppgiftsbiträdesförhållande, är ni gemensamt personuppgiftsansvariga eller är ni självständigt personuppgiftsansvariga (datadelning). Upprätta därefter korrekta avtal som reglerar det inbördes förhållandet, lämpligt skydd för personuppgifterna, vem som ansvarar för registrerades rättigheter samt eventuella tredjelandsöverföringar.
Ja, vi har korrekta avtal (PUB-avtal eller avtal om gemensamt ansvar) med alla parter
Vi har avtal med våra största leverantörer, men saknar för vissa partners
Vi arbetar på att kartlägga och reglera våra samarbeten
Inga specifika dataskyddsavtal finns på plats
Har ni en rutin för att hantera personuppgiftsincidenter?
Artikel 33 GDPR kräver att tillsynsmyndigheten i vissa fall meddelas om en incident inom 72 timmar efter att den upptäckts.
När exempelvis ett dataintrång eller en förlust av en okrypterad dator sker, tickar klockan. Utan en välkänd och välfungerande rutin för incidenthantering blir resultatet ofta att man antingen mörkar (vilket är olagligt), överrapporterar (vilket skapar onödigt arbete) eller missar tidsfristen på 72 timmar. En god rutin för incidenthantering bör innehålla en definition på vad en personuppgiftsincident är (exempelvis borttappat USB-minne, e-post till fel mottagare eller misstanke om intrång såsom “phishing”), en kontaktuppgift till den person eller befattning som ska kontaktas vid händelse av en incident, en enkel dokumentationsmall som fångar upp det viktigaste i incidenten (Vad har hänt? När upptäcktes det? Vilka typer av uppgifter rör det? Hur många personer uppskattas vara drabbade?) samt en rutin för bedömning av om incidenten ska anmälas till IMY eller enbart dokumenteras internt. Det viktigaste av allt är att denna rutin kommuniceras intern så att all berörd personal är väl medveten om rutinen och hur det fungerar.
Ja, vi har en fungerande rutin för att upptäcka, dokumentera och hantera personuppgiftsincidenter
Vi har en grundläggande plan men den har utvärderats
Vi arbetar på det
Ingen rutin existerar
Har ni fastställda rutiner för gallring och radering?
Principen om lagringsminimering innebär att ha fungerande gallringsrutiner som säkerställer att personuppgifter raderas eller avidentifieras när de inte längre behövs för det ursprungliga ändamålet.
"Bra att ha"-data är en juridisk skuld. Bestäm tydliga gallringsfrister för varje kategori av uppgifter (t.ex. 2 år efter avslutad kundrelation) och gör radering till en naturlig del av årshjulet. Utgå ifrån behandlingen i registerförteckningen och dokumentera sedan lämplig gallringsfrist för den behandlingen. Uppmuntra de anställda inom organisationen att städa i sin egen mailkorg (e-postsystem ska inte användas som varken ärendehanterings- eller dokumenthanteringssystem) och i sina filer, både digitala och fysiska.
Ja, vi har automatiserade eller manuella rutiner för regelbunden gallring
Vi raderar data sporadiskt
Vi arbetar på det
Nej, vi sparar data på obestämd tid
Tillämpar ni inbyggt dataskydd och dataskydd som standard?
Artikel 25 GDPR kräver att dataskydd integreras i era system och processer redan från planeringsstadiet.
Att addera dataskydd i efterhand är som att försöka bygga in säkerhetsbälten i en krockad bil. Det blir dyrt och sämre. GDPR är inte en efterhandskontroll och måste göras till en del av verksamhetens DNA. Gör det till en regel att ingen ny mjukvara får köpas in och inget nytt projekt får startas utan att en kort dataskyddsanalys gjorts först. Fråga er : Vilken data ska hanteras? Vem har tillgång? Var lagras den? Hur kan vi begränsa behörigheterna? Behövs ett PUB-avtal? Genom att bygga in dataskydd från början upptäcker ni integritetsrisker innan de blir dyra problem eller kräver ombyggnad av system. Inbyggt dataskydd handlar om att göra det rätta valet till det enklaste valet för organisationen.
Ja, det är en central del av vår projekt- och utvecklingsmodell
Vi överväger det ibland
Vi arbetar på det
Nej, vi har inte detta angreppssätt
Har ni identifierat en rättslig grund för all behandling?
Artikel 6 GDPR kräver att ni identifierar och dokumenterar en giltig rättslig grund för varje behandling av personuppgifter.
Att etablera och dokumentera en rättslig grund är själva fundamentet i GDPR. Utan en giltig rättslig grund är behandlingen av personuppgifter rent juridiskt olaglig från start. Den rättsliga grunden är ert "tillstånd" att överhuvudtaget behandla personuppgifter. Man måste kunna informera de registrerade varför man behandlar deras uppgifter och att man har rätt att hantera deras uppgifter. Olika rättsliga grunder innebär nämligen olika rättigheter för den registrerade, exempelvis om ni använder samtycke har personen rätt till dataportabilitet och att dra tillbaka samtycket, och om ni använder intresseavvägning har personen rätt att göra invändningar mot behandlingen. Om IMY gör en tillsyn och märker att ni saknar rättslig grund, eller har valt fel grund, kan konsekvenserna bli dyra sanktionsavgifter, förbud mot att behandla data eller andra administrativa påföljder.
Ja, all behandling är kopplad till en specifik rättslig grund
Vi har identifierat rättslig grund för de flesta aktiviteter
Vi arbetar på det
Nej, vi har inte dokumenterat detta
Finns lämpliga tekniska och organisatoriska säkerhetsåtgärder för all behandlingsaktivitet?
Artikel 32 GDPR kräver säkerhetsåtgärder (exempelvis kryptering, autentisering, eller pseudonymisering) som är lämpliga i förhållande till risknivån för datan.
Att vidta tekniska och organisatoriska säkerhetsåtgärder enligt artikel 32 GDPR handlar om att bygga ett skyddslager runt den data ni hanterar. Det räcker inte att ha juridiken på papper om "bakdörren" till servern står öppen eller om personalen lämnar sina datorer olåsta. GDPR kräver att säkerhetsnivån är "lämplig" i förhållande till risken. Om en incident inträffar och ni kan visa att ni haft starka skyddsåtgärder på plats, blir IMY:s bedömning ofta mildare än om ni varit vårdslösa. En säkerhetsincident, som exempelvis en ransomware-attack, kan stoppa hela verksamheten. Bra säkerhetsåtgärder skyddar inte bara personuppgifter, utan även era affärshemligheter och er drift. De vanligaste tekniska säkerhetsåtgärderna innefattar bland annat multifaktorautentisering, kryptering och behörighetsstyrning, och de vanligaste organisatoriska säkerhetsåtgärderna innefattar bland annat utbildning av personal och ledare, vedertagna incidentrutiner och korrekta avtal, såsom personuppgiftsbiträdesavtal.
Ja, vi följer etablerade säkerhetsstandarder och kontroller
Vi har vissa grundläggande säkerhetsåtgärder
Vi arbetar på det
Nej, våra säkerhetsåtgärder är minimala
Har organisationen kontroll på om personuppgifter överförs till länder utanför EU/EES (t.ex. via amerikanska molntjänster) och finns det lagliga överföringsmekanismer på plats?
GDPR ställer strikta krav på överföring av personuppgifter till länder utanför EU/EES.
Att ha koll på sina överföringar av personuppgifter utanför EU/EES dvs. tredjelandsöverföringar, är en av de absolut mest komplexa frågorna inom GDPR idag. Anledningen är enkel; när personuppgifter lämnar EU:s gränser försvinner också det direkta skyddet som den europeiska lagstiftningen ger individen och personuppgifterna omfattas av mottagarlandets personuppgiftslagar, vilka inte alltid motsvarar den skyddsnivå som GDPR uppställer. Det räcker med att en anställd öppnar upp sin laptop i ett tredjeland och på så sätt får tillgång till organisationens personuppgifter, för att det ska räknas som en tredjelandsöverföring. För att undvika dyra sanktionsavgifter, enskilda skadestånd eller andra administrativa sanktionsavgifter (för att inte tala om den renoméförlust som en stor incident innebär) börja med att kartlägga era tredjelandsöverföringar, använd rätt överföringsmekansim (som exempelvis EU:s standardavtalsklausuler eller bindande företagsregler), gör en konsekvensbedömning avseende överföringen (Transfer Impact assessment, TIA) och dokumentera överföringen och säkerhetsåtgärderna i er registerförteckning.
Ja, vi kartlägger alla överföringar och använder lagliga mekanismer
Vi vet var data lagras men saknar formella mekanismer
Vi arbetar på det
Nej, vi spårar inte internationella överföringar
