GDPR och molnet – en introduktion

På den här sidan introduceras några av dataskyddsförordningens (GDPR) viktigaste delar, med särskilt fokus på molntjänster. GDPR är en EU-förordning som började tillämpas den 25 maj 2018.

Som leverantör av molninfrastruktur med fokus på regelefterlevnad vet vi att en del verksamheter kan bli överväldigade av vad som krävs för att följa GDPR i molnet.

I den här artikeln presenterar vi några centrala aspekter av GDPR, samtidigt som vi går ett steg längre. Artikeln gräver djupare än bara en ytlig förståelse och syftar till att vara praktiskt användbar.

Varje del av artikeln har ett avsnitt som handlar om överväganden som är särskilt relevanta för verksamheter som vill följa GDPR när de använder molnet.

Vi hoppas att du tycker att artikeln är användbar.

Även om artikeln hänvisar till EU så gäller GDPR i hela EES, som omfattar EU samt Island, Lichtenstein och Norge.

GDPR:s huvudsyften

Dataskyddsförordningen har två huvudsyften:

• Att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.
• Att underlätta det fria flödet av personuppgifter inom EU genom att konsekvent tillämpa en uppsättning regler i hela EU.

Grundläggande rättigheter är särskilt viktiga i EU:s rättsordning.

Det fria flödet av personuppgifter kan ses som en del av EU:s mål för den inre marknaden, genom att undanröja hinder för ekonomisk verksamhet.

Vid konflikt mellan å ena sidan EU-lagstiftning (t.ex. GDPR) och å andra sidan lagar eller konstitutioner i EU:s medlemsstater, så har EU-lagstiftningen företräde.

Bra att veta vid användning av molntjänster

I takt med att tekniken utvecklas, inklusive molntjänster, så förblir GDPR:s huvudsyften viktigare än någonsin.

Vi anser att en hög skyddsnivå för grundläggande rättigheter främjar tilliten till modern teknik och är avgörande för att vi ska behålla vår mänsklighet i den digitala tidsåldern.

Moderna molntjänster är gränsöverskridande. En verksamhet i Frankrike kan enkelt använda en molntjänst som levereras från Sverige. Därför är det viktigt att EU:s höga skyddsnivå för grundläggande rättigheter tillämpas på ett enhetligt sätt i hela EU. GDPR syftar till att uppnå detta. Om vissa länder skulle ha mindre stränga regler, eller inte utövade tillsyn över GDPR lika strikt, så skulle det undergräva den höga skyddsnivån för grundläggande rättigheter.

Detsamma kan sägas om överföring av personuppgifter utanför EU/EES. Om verksamheter i EU skulle kunna undvika sitt ansvar genom att överföra personuppgifter till molnservrar i tredjeländer skulle det undergräva våra grundläggande rättigheter.

Sedan en tid har det pågått en diskussion om huruvida våra rättigheter i molnet redan undermineras till viss del. Här kan noteras att dominerande amerikanska molntjänstleverantörer har etablerat sig på Irland, kanske delvis på grund av förmånliga skatter, kanske delvis på grund av en upplevd brist på handlingsvilja hos den irländska tillsynsmyndigheten som ska utöva tillsyn så att GDPR efterlevs.

Nyckeldefinitioner

Alla definitioner i GDPR finns i sin helhet i artikel 4. För att förstå dem fullt ut bör de läsas tillsammans med de tillhörande skälen i dataskyddsförordningen samt rättspraxis från Europeiska unionens domstol (EU-domstolen).

Här följer en kortfattad och förenklad sammanfattning av några nyckeltermer som är relevanta för de flesta verksamheter:

1. Personuppgifter. Detta är varje upplysning som direkt eller indirekt avser en identifierad eller identifierbar person som är i livet. Definitionen av personuppgifter tolkas brett. Observera att det räcker med att informationen relaterar till en identifierbar person för att det ska vara fråga om en personuppgift. Det innebär att en verksamhet kan behandla information om personer utan att känna till deras specifika identitet (i betydelsen deras namn etc.), och det skulle fortfarande räknas som behandling av personuppgifter om verksamheten eller någon annan lagligen kan koppla ihop den informationen med annan information för att identifiera dessa personer.
2. Registrerad. När personuppgifter avser en fysisk person som är i livet definierar GDPR en sådan person som en ”registrerad”. I den här artikeln undviker vi det ordet och använder istället mer vardagliga ord som personer eller individer.
3. Behandling. I stort sett all jordisk aktivitet som utförs på personuppgifter räknas som behandling. Insamling, hämtning, bearbetning eller ändring, radering, tillhandahållande av personuppgifter – till och med helt passiv lagring – är alla exempel på behandling. Behandling kan ske automatiserat, t.ex. med hjälp av en dator. Icke-automatiserad behandling av personuppgifter, t.ex. med papper och penna, omfattas också av GDPR om personuppgifterna ingår i ett register eller är avsedda att ingå i ett register.
4. Personuppgiftsansvarig. En verksamhet är personuppgiftsansvarig för en behandling om verksamheten i praktiken bestämmer ändamålen och medlen – det vill säga varför och hur – personuppgifterna behandlas. EU:s tillsynsmyndigheter anser att vissa mer praktiska aspekter av huret (s.k. ”icke-väsentliga medel”), t.ex. vilken specifik hårdvara och programvara som ska användas för behandlingen, kan delegeras till personuppgiftsbiträden att besluta om.
5. Personuppgiftsbiträde. En verksamhet är ett personuppgiftsbiträde när den behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde behandlar endast personuppgifter för att uppnå den personuppgiftsansvariges ändamål med behandlingen, i enlighet med den personuppgiftsansvariges instruktioner. Ett personuppgiftsbiträde kan fatta vissa beslut om praktiska aspekter av hur uppgifterna behandlas (”icke-väsentliga medel”), t.ex. vilken specifik hårdvara och programvara som ska användas för behandlingen. Ett personuppgiftsbiträde fattar dock inga egna beslut om ändamålen med behandlingen av personuppgifterna.

Det är också bra att känna till att GDPR inte gäller när en person behandlar personuppgifter som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll.

Bra att veta vid användning av molntjänster

Verksamheter som använder molntjänster ses vanligtvis som personuppgiftsansvariga enligt GDPR, medan molntjänstleverantörer ses som personuppgiftsbiträden. Det är ofta korrekt, även om saker och ting kan vara mer nyanserade.

Rollen som personuppgiftsansvarig eller personuppgiftsbiträde gäller endast enskilda behandlingar av personuppgifter. När vi talar om en personuppgiftsansvarig verksamhet så talar vi alltså om en verksamhet som är personuppgiftsansvarig för specifika behandlingar av personuppgifter. Samma verksamhet kan dessutom eller alternativt vara ett personuppgiftsbiträde, om den utför behandlingar för någon annans räkning. Rollen som personuppgiftsansvarig eller personuppgiftsbiträde är alltid knuten till en eller flera identifierbara behandlingar av personuppgifter.

En molntjänstleverantör, särskilt en leverantör av en SaaS-lösning, är ofta personuppgiftsbiträde för sina kunders räkning, men också i viss utsträckning personuppgiftsansvarig.

En molntjänstleverantör blir personuppgiftsansvarig för behandlingar av personuppgifter som den utför för sina egna ändamål. Dessa ändamål kan vara berättigade, t.ex. när en SaaS-leverantör loggar en begränsad mängd specifika uppgifter som behövs för att hålla molntjänsten säker.

I andra fall kan situationen – åtminstone enligt vår uppfattning – vara mer eller mindre tveksam. Ett exempel skulle kunna vara om en molntjänstleverantör tillåter sig att använda vitt skilda typer av personuppgifter för tvetydiga syften som att förbättra tjänsten, utan ytterligare konkretion. Ett annat kan vara om molntjänstleverantören beräknar ersättning till sina säljare utifrån hur kundernas medarbetare använder molntjänsten.

När en molntjänstleverantör använder personuppgifter i egenskap av personuppgiftsansvarig krävs det enligt artikel 12 i GDPR att molntjänstleverantören informerar de personer vars personuppgifter behandlas. Detta kallas ofta ett integritetsmeddelande (privacy notice), eller mindre korrekt integritetspolicy (privacy policy).

Verksamheter som överväger att använda en molntjänst bör därför noggrant granska om och hur molntjänstleverantören använder personuppgifter som personuppgiftsansvarig (dvs. för sina egna ändamål), samt om och hur molntjänstleverantören informerar om detta i enlighet med kraven i GDPR. Detta kan sedan ingå i verksamhetens bedömning av om molntjänstleverantörens användning av personuppgifter är godtagbar och om molntjänstleverantören uppfyller sina skyldigheter som personuppgiftsansvarig.

När molntjänstleverantören å andra sidan agerar som personuppgiftsbiträde för sina kunders räkning, bör denna behandling beskrivas i ett personuppgiftsbiträdesavtal mellan molntjänstleverantören och respektive kund.

GDPR:s territoriella tillämpningsområde

Artikel 3 i GDPR fastställer förordningens territoriella tillämpningsområde.

Verksamheter måste följa GDPR under följande omständigheter:

• Personuppgiftsansvariga och personuppgiftsbiträden som är etablerade i EU och vars verksamhet omfattar behandling av personuppgifter, oavsett om behandlingen sker i EU eller inte.
• Personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU och som behandlar personuppgifter som rör personer i EU, där behandlingen avser:
  • utbjudande av varor eller tjänster till personer inom EU, oavsett om betalning krävs, eller
  • övervakning av beteendet hos personer i EU, så länge beteende sker inom EU.

Bra att veta vid användning av molntjänster

Verksamheter i EU bör särskilt komma ihåg den första punkten: deras EU-verksamhet som omfattar behandling av personuppgifter omfattas av GDPR, även om själva personuppgiftsbehandlingen sker utanför EU.

En verksamhets personal i EU kan t.ex. förlita sig på en molntjänstleverantör med servrar i Schweiz (ett land utanför EU/EES). I ett sådant fall omfattar GDPR fortfarande verksamheten för den personuppgiftsbehandling som sker på servrarna i Schweiz.

Vissa molntjänstleverantörer ger sig själva lösa tyglar att överföra personuppgifter till i stort sett vilket tredjeland som helst vid vilken tidpunkt som helst. Det riskerar att beröva kundverksamheten kontroll över vart personuppgifterna tar vägen och hur väl de skyddas. Det kan vara svårt eller omöjligt för en kundverksamhet att bedöma varje tredjeland innan varje överföring sker, även om verksamheten formellt sett har godkänt överföringarna i förväg.

Den grundläggande rätten till dataskydd

Regelverket kallas dataskyddsförordningen, eller General Data Protection Regulation. Så vad innebär egentligen dataskydd?

För det första är det endast uppgiftstypen personuppgifter som omfattas av GDPR. Enkelt uttryckt är det all information som direkt eller indirekt kan hänföras till en identifierad eller identifierbar person som är i livet.

För det andra är det lätt att tro att begreppet skydd i dataskydd endast tar sikte på säkerhet, men det ger långt ifrån hela bilden. Enligt EU-lagstiftningen innebär skydd av personuppgifter mycket mer än bara informationssäkerhet i traditionell mening.

I artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna fastställs rätten till skydd av personuppgifter. I den artikeln står det:

Det är särskilt relevant att granska punkt nummer två. Där får vi veta att personuppgifter måste:

1. Behandlas på lagenligt, eller på ett korrekt sätt (i den engelska versionen fairly).
2. För bestämda ändamål.
3. På en legitim och lagenlig grund.

Vi lär oss också att alla har en grundläggande rätt att:

1. Få tillgång till de uppgifter som har samlats in om en själv.
2. Rätt att få personuppgifter om sig själv rättade (korrigerade).

Eftersom de grundläggande rättigheterna i EU:s stadga är en del av EU:s primärrätt måste GDPR tolkas i linje med dessa rättigheter.

Grundläggande rättigheter har en stark ställning i EU:s rättsordning, men de är inte absoluta. De grundläggande rättigheterna kan inskränkas om inskränkningarna föreskrivs i lag och uppfyller vissa strikta krav.

Europeiska unionens domstol (EU-domstolen) kan ses som en högsta domstol när det gäller EU-rätten. EU-domstolen är den sista instans som kan tolka räckvidd och begränsningar av EU:s grundläggande rättigheter och GDPR. Alla nationella domstolar i EU:s medlemsländer är bundna av EU-domstolens tolkningar och avgöranden.

Bra att veta vid användning av molntjänster

Användning av molntjänster kan ibland framstå som en rent teknisk exercis, som inte påverkar människors grundläggande rättigheter jämfört med att använda lokalt installerad programvara. När en verksamhet använder molntjänster för att behandla personuppgifter kan respekten för grundläggande rättigheter emellertid vara avgörande för regelefterlevnaden.

Det berömda Schrems II-målet om tredjelandsöverföringar enligt GDPR ökade medvetenheten om de problem som kan förknippas med molntjänster som tillhandahålls av företag baserade i USA. Målet handlade i slutändan inte om en tolkning av GDPR, utan om en tolkning av EU-stadgan. EU-domstolen prövade närmare bestämt om USA:s övervakningslagstiftning uppfyllde EU-stadgans krav på de grundläggande rättigheterna till privatliv, skydd av personuppgifter och ett effektivt rättsmedel inför en domstol. En sådan bedömning är kanske inte det första som kommer till åtanke för en verksamhet som överväger att använda molnet!

GDPR:s principer för dataskydd

GDPR tar avstamp i den grundläggande rätten till skydd av personuppgifter, adderar ytterligare rättigheter för personer och skyldigheter för verksamheter samt konkretiserar dessa i 99 artiklar och 173 beaktandesatser.

Som tur är finns alla GDPR:s huvudprinciper samlade i en artikel – artikel 5 i GDPR.

I denna artikel anges sex principer för behandling av personuppgifter samt en sjunde princip om att kunna påvisa efterlevnad till de övriga sex principerna.

Här följer en kortfattad och förenklad sammanfattning av vad GDPR:s principer för dataskydd innebär för personuppgiftsansvariga verksamheter.

1. Laglighet, korrekthet och öppenhet. Verksamheter måste ha en laglig grund för att behandla personuppgifter, de måste använda uppgifterna på ett rättvist sätt (på engelska “fairly“) och informera individer om behandlingen på ett tydligt och koncist sätt.
2. Ändamålsbegränsning. Verksamheter får endast samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare använda uppgifterna på ett sätt som är oförenligt med de ursprungliga ändamålen.
3. Uppgiftsminimering. Verksamheter får endast samla in och använda de typer och mängder av personuppgifter som faktiskt är nödvändiga i förhållande till verksamhetens angivna syften med behandlingen – inte mer.
4. Riktighet. Verksamheter måste vidta alla rimliga åtgärder för att se till att de utan dröjsmål raderar eller rättar felaktiga personuppgifter.
5. Lagringsminimering. Verksamheter får endast lagra personuppgifter så länge som det är nödvändigt för att uppnå de angivna ändamålen med behandlingen – inte längre.
6. Integritet och konfidentialitet. Verksamheter måste säkerställa lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten användning av personuppgifterna och mot oavsiktlig förlust, förstörelse eller skada.
7. Ansvarsskyldighet. Verksamheter är ansvariga för och måste kunna visa att de föregående sex principerna efterlevs.

Som synes är det främst en princip (nummer sex) som handlar om traditionell informationssäkerhet.

För att uppfylla dataskyddsprinciperna i GDPR måste en personuppgiftsansvarig verksamhet t.ex. också definiera ändamålen med sin behandling, se till att den endast samlar in och använder personuppgifter som är nödvändiga för att uppnå dessa ändamål och endast under den tid som krävs, göra korrekta rättsliga bedömningar av laglig grund för behandlingen och tillhandahålla individer tydlig och koncis information om behandlingen.

Här bör också nämnas det som brukar kallas principerna om inbyggt dataskydd och dataskydd som standard enligt artikel 25 i GDPR. Principen om inbyggt dataskydd innebär att när en personuppgiftsansvarig använder t.ex. en molnlösning ska användningen tillgodose de ovannämnda 6+1 dataskyddsprinciperna. Dataskydd som standard kräver implementering av standardinställningar (t.ex. standardinställningar i en SaaS-lösning) som respekterar principerna om uppgiftsminimering, lagringsminimering och konfidentialitet.

Nästan alla GDPR-skyldigheter som en verksamhet ställs inför kan i någon form knytas till en av de ovan nämnda GDPR-principerna. Att återvända till dessa principer kan ofta vara till stor hjälp i en verksamhets GDPR-arbete.

Bra att veta vid användning av molntjänster

En del molntjänstleverantörer som får frågor om GDPR framhåller gärna sitt traditionella informationssäkerhetsarbete. Ett sådant arbete kan ge ett effektivt skydd mot intrång (även om också detta ibland har ifrågasatts), utan att visa förståelse för GDPR:s övriga krav.

Som framgår av dataskyddsprinciperna handlar GDPR om mer än bara säkerhet. När en verksamhet använder en molntjänst måste den säkerställa att alla GDPR:s principer efterlevs. Använder till exempel molntjänstleverantören personuppgifter för sina egna tvivelaktiga syften? Ger molntjänstleverantören sig själv tillstånd att i hemlighet överföra personuppgifter från EU till myndigheter i tredje land utan en giltig rättslig grund, och i strid med sina skyldigheter enligt artikel 32.4?

Det är också relevant att undersöka hur en molntjänst har implementerat principerna om inbyggt dataskydd och dataskydd som standard, särskilt om det är en SaaS-lösning. Gör lösningen t.ex. integritetskänslig information om användare tillgänglig för administratörer, även om det inte behövs av administrativa eller säkerhetsrelaterade skäl? Är molntjänsten utformad för att tillgodose behovet av att kunna exportera, rätta och radera personuppgifter på ett praktiskt sätt, utan att göra näraliggande information värdelös? Ansvaret för detta faller på den personuppgiftsansvarige, även när verksamheten använder en SaaS-lösning som designats av någon annan. Personuppgiftsansvariga verksamheter bör därför säkerställa att deras potentiella personuppgiftsbiträden har byggt sina lösningar på ett sätt som gör det möjligt för den personuppgiftsansvarige att uppfylla sina skyldigheter enligt GDPR.

Här kan EDPB:s riktlinjer 4/2019 om artikel 25 inbyggt dataskydd och dataskydd som standard vara till hjälp.

Rättslig grund för behandling

En personuppgiftsansvarig verksamhet måste kunna åberopa en eller flera giltiga rättsliga grunder enligt GDPR för var och en av sina behandlingsaktiviteter.

Det finns sex rättsliga grunder, dessa anges i artikel 6 i GDPR.

För de flesta verksamheter tror vi att följande fyra rättsliga grunder sannolikt är de vanligaste. De återges i något förenklad form.

1. Fullgöra en rättslig förpliktelse, enligt artikel 6.1 c i GDPR. Används om det är nödvändigt att behandla vissa personuppgifter för att uppfylla en rättslig förpliktelse som fastställs i EU-lagstiftning eller i en EU/EES-medlemsstats nationella rätt. Exempel på användning: en verksamhet måste behandla personuppgifter för att fullgöra sin rättsliga förpliktelse att rapportera sina anställdas löner till skattemyndigheten.
2. Fullgörande av ett avtal med den person vars personuppgifter behandlas, enligt artikel 6.1 b i GDPR. Används om det är nödvändigt att behandla vissa personuppgifter för att fullgöra ett avtal med den person vars uppgifter behandlas. Exempel på användning: en verksamhet måste betala ut löner för att fullgöra sina anställningsavtal, och det kan i sin tur göra det nödvändigt att samla in de anställdas bankkontonummer.
3. Intresseavvägning mellan å ena sidan den egna verksamhetens eller en tredje parts intressen, och å andra sidan intresset hos berörda personer att slippa få sina personuppgifter behandlade, enligt artikel 6.1 f i GDPR. Används om det är nödvändigt att behandla vissa personuppgifter för att tillgodose ett berättigat intresse som den egna verksamheten eller en tredje part har samt att detta intresse väger tyngre än berörda personers intresse av att slippa få sina personuppgifter behandlade. Vid en sådan bedömning behöver verksamheten särskilt beakta personernas rimliga förväntningar på varför och hur deras personuppgifter skulle behandlas. Exempel på användning: en verksamhet och dess anställda kan ha ett berättigat intresse av att verksamheten lagrar kontaktuppgifter för nödsituationer avseende sina anställda. Integritetsintrånget som det medför för dessa kontaktpersoner bör vara relativt litet. Det bör också ligga inom ramen för de anställdas och kontaktpersonernas rimliga förväntningar.
4. Samtycke, enligt artikel 6.1 a i GDPR. Används om en person frivilligt lämnar sitt samtycke till behandling av sina personuppgifter för ett eller flera ändamål. En verksamhet måste uppfylla flera krav för att erhålla ett giltigt samtycke enligt GDPR, bland annat att samtycket är informerat, genuint frivilligt och att det när som helst kan återkallas. Exempel på användning: samtycke lämnas av en person som anmäler sig för att få ett nyhetsbrev via e-post.

När en verksamhet fastställer vilken av dessa rättsliga grunder som kan användas anser vi att det kan vara lämpligt att bedöma dem i ovan angiven ordning.

Offentliga myndigheter och andra verksamheter som utför uppgifter av allmänt intresse eller som ett led i myndighetsutövning har en annan rättslig grund att åberopa när de utför behandling som är nödvändig för dessa uppgifter. Denna rättsliga grund finns i artikel 6.1 e i GDPR och skulle passa in mellan den andra och den tredje punkten ovan vid en bedömning av rättsliga grunder. När offentliga myndigheter utför sina uppgifter måste de använda denna rättsliga grund i stället för på intresseavvägning, eftersom offentliga myndigheter inte kan förlita sig på en intresseavvägning när de utför sina uppgifter.

Slutligen finns det en rättslig grund för behandling av personuppgifter som är nödvändig för att skydda intressen som är “av grundläggande betydelse“ för en person (på engelska en persons “vital interests“). Personen kan i sin tur vara den person vars personuppgifter behandlas, eller en annan person. I båda fallen måste behandlingen vara nödvändig för att skydda ett intresse som är av avgörande betydelse för personens liv. Verksamheter får endast använda denna rättsliga grund om det är uppenbart att behandlingen inte kan ha en annan rättslig grund. Denna rättsliga grund finns i artikel 6.1 d i GDPR, men är endast sällan relevant.

Bra att veta vid användning av molntjänster

En SaaS-leverantör kan tillhandahålla sin egen bedömning av vilken rättslig grund som deras kunder ska förlita sig på när de använder SaaS-leverantörens molntjänst. Sådana bedömningar kan vara en användbar utgångspunkt för en personuppgiftsansvarig verksamhets egen analys.

Den personuppgiftsansvariga verksamheten är dock alltid ansvarig för att göra sin egen bedömning av vilken rättslig grund som ska åberopas för varje behandling av personuppgifter. Det gäller även när behandlingen utförs med hjälp av en molntjänst. I vissa fall kan en verksamhet dra slutsatsen att ingen rättslig grund passar för en viss behandling, vilket innebär att behandlingen inte är möjlig. Även om verksamheten kan identifiera en giltig rättslig grund bör påminnas om att alla andra skyldigheter enligt GDPR fortfarande gäller, såsom principerna för dataskydd.

Verksamheter bör vara särskilt försiktiga när en potentiell molntjänstleverantör vill samla in personuppgifter från sina kunder och använda dessa uppgifter för molntjänstleverantörens egna syften. I ett sådant fall skulle kundverksamheten, i egenskap av personuppgiftsansvarig, i praktiken lämna ut personuppgifter till molntjänstleverantören, som sedan agerar som en separat personuppgiftsansvarig. Kundverksamhetens utlämnande är i sig en behandling av personuppgifter. Det innebär att kundverksamheten måste bedöma att den har en giltig rättslig grund för utlämnandet. Om molntjänstleverantören avser använda de mottagna personuppgifterna för vaga eller tvivelaktiga ändamål kan det vara svårt eller omöjligt för kundverksamheten att fastställa att den har en sådan giltig rättslig grund för utlämnandet.

Särskilda kategorier och andra känsliga personuppgifter

Särskilda kategorier av personuppgifter

Som utgångspunkt förbjuder GDPR behandling av vissa typer av särskilt känsliga personuppgifter. Dessa framgår av artikel 9 i GDPR och kallas särskilda kategorier av personuppgifter. Det är personuppgifter som rör en persons:

• hälsa,
• genetik,
• ras eller etniska ursprung,
• medlemskap i fackförening,
• sexualliv eller sexuella läggning,
• politiska åsikter, religiösa eller filosofiska övertygelser, eller
• biometriska uppgifter för att entydigt identifiera en person.

Det finns undantag från det förbud som råder som utgångspunkt i GDPR. Kan en verksamhet använda ett sådant undantag blir det tillåtet att lagligen använda särskilda kategorier av personuppgifter.

Förbudet framgår av artikel 9.1. Undantagen anges i sin helhet i artikel 9.2.

Förenklat kan dessa undantag användas när:

• den registrerade uttryckligen har lämnat sitt samtycke till den planerade behandlingen, och EU-lagstiftning eller lagstiftning i en EU-medlemsstat inte hindrar att samtycke ges för sådan behandling,
• behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter eller utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den mån det är tillåtet enligt nationell rätt eller ett kollektivavtal,
• behandlingen är nödvändig för att skydda den registrerades eller en annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke,
• behandlingen utförs hos en stiftelse, förening eller annat icke vinstdrivande organ med ett politiskt, filosofiskt, religiöst eller fackligt syfte. Vidare ska behandlingen enbart avse organets medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med det. Dessutom får personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.
• behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade,
• behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk, eller som en del av domstolarnas dömande verksamhet,
• behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av EU-lagstiftning eller lagstiftningen i en EU-medlemsstat,
• behandlingen är nödvändig för förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system,
• behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom att skydda mot allvarliga gränsöverskridande hot mot hälsan eller att säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter,
• behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

Undantagen har beskrivits i förenklad form. För att helt förstå varje undantag är det nödvändigt att läsa hela artikel 9 i GDPR. Observera också att GDPR tillåter EU:s medlemsländer att ytterligare begränsa användningen av genetiska data, biometriska data eller data som rör hälsa.

En verksamhet som vill behandla särskilda kategorier av personuppgifter måste ha både en rättslig grund enligt artikel 6 i GDPR och ett tillämpligt undantag enligt artikel 9.2 i GDPR.

Personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott

Behandling av personuppgifter relaterade till brottmålsdomar och lagöverträdelser är också strikt reglerat i GDPR. Precis som med särskilda kategorier av personuppgifter är det bara början att identifiera en rättslig grund enligt artikel 6 i GDPR.

Enligt artikel 10 i GDPR får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott “endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.“

För de flesta organisationer innebär det att de måste kunna peka på en specifik del av EU-rätten eller en EU-medlemsstats nationella rätt, som tillåter verksamheten att behandla sådana personuppgifter. Exempelvis tillåter svensk lag vissa typer av arbetsgivare att, innan de anställer en person, använda uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott. Den svenska tillsynsmyndigheten har dessutom utfärdat föreskrifter (DIFS 2018:2 Föreskrifter om behandling av personuppgifter som rör lagöverträdelser) som i vissa sammanhang tillåter behandling av uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott.

Bra att veta vid användning av molntjänster

GDPR reglerar behandling av särskilda kategorier av personuppgifter främst genom att kräva att något av ett antal särskilt angivna skäl föreligger. För de flesta verksamheter förutsätter samtidigt behandling av uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott, att verksamheten kan peka på någon del av EU-rätten eller en EU-medlemsstats nationella rätt som tillåter den aktuella behandlingen.

Det är lätt att förstå att läckor eller missbruk av särskilda kategorier av personuppgifter, eller uppgifter om brottmålsdomar eller lagöverträdelser, potentiellt kan få allvarliga konsekvenser för den som drabbas.

Här kan vi påminna oss om GDPR:s regler om säkerhet för behandling. Dessa regler kräver att verksamheter skyddar personuppgifter med en säkerhetsnivå som är lämplig i förhållande till risken. Verksamheter måste ta hänsyn till olika aspekter som behandlingens art och riskerna för individer. Ju känsligare data, desto högre säkerhetsnivå krävs.

Detta gäller givetvis vid behandling av särskilda kategorier av personuppgifter eller uppgifter om brottmålsdomar och lagöverträdelser, men lika väl andra typer av känsliga personuppgifter. Till exempel kan information om en persons ekonomiska situation, eller var en person befunnit sig över tid, vara mycket känslig även om uppgifterna inte räknas som särskilda kategorier av personuppgifter eller uppgifter om brottmålsdomar och lagöverträdelser. Personuppgifter måste skyddas på ett lämpligt sätt oavsett om de har särskild status enligt artikel 9 eller 10 i GDPR.

En personuppgiftsbehandlings känslighetsgrad är relevant också vid GDPR-överträdelser som rör annat än säkerhet. Till exempel fick ett företag en sanktionsavgift på 290 miljoner euro efter att ha överfört olika typer av mer eller mindre känsliga personuppgifter till USA utan en giltig överföringsmekanism. Detta trots att företaget inte nödvändigtvis hade brutit mot GDPR:s regler kring lämplig säkerhet för personuppgifterna.

Därför är det viktigt att verksamheter säkerställer att de hanterar känsliga personuppgifter korrekt enligt GDPR, oavsett om det är ur säkerhetssynpunkt eller andra skäl som rör regelefterlevnad. Detta inte minst när en verksamhet använder molntjänster som aktualiserar en rad aspekter, från säkerhet till skydd mot tredjelandsåtkomst, till dataskyddsprinciperna.

Individuella rättigheter

GDPR ger personer ett antal rättigheter som medför skyldigheter för personuppgiftsansvariga. Dessa inbegriper:

1. Rätten till information. Personuppgiftsansvariga måste informera de personer vars uppgifter behandlas, exempelvis om behandlingens syften, rättsliga grund och om det förekommer överföringar till tredje land. Artikel 12 kräver att personuppgiftsansvariga tillhandahåller denna information “i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk, i synnerhet för information som är särskilt riktad till barn“. Artikel 13 anger den information som ska lämnas till en person när personuppgifter samlas in från densamme. Artikel 14 anger den information som ska lämnas till en person när personuppgifterna har erhållits från en annan källa än personen själv.
2. Rätten till tillgång. Personuppgiftsansvariga ska tillhandahålla en kopia av de personuppgifter som behandlas om en person, om personen begär det. På engelska kallas detta ofta DSAR, vilket står för Data Subject Access Request. Artikel 15 förklarar denna rättighet.
3. Rätten till rättelse. Personuppgiftsansvariga måste rätta (korrigera) felaktiga personuppgifter om en person som begär rättelse. Artikel 16 förklarar denna rättighet. Personuppgiftsansvariga har dessutom ett separat ansvar enligt artikel 5.1 d att vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål.
4. Rätten till radering, eller “rätten att bli bortglömd“. Personuppgiftsansvariga måste under vissa förutsättningar radera personuppgifter om en person som begär radering. Artikel 17 förklarar denna rättighet.
5. Rätten till begränsning. Under vissa förutsättningar måste personuppgiftsansvariga begränsa hur de behandlar personuppgifter som rör en person som begär begränsningen. Om en personuppgiftsansvarig verksamhet exempelvis inte längre behöver vissa personuppgifter om en person och därför normalt skulle ha raderat uppgifterna, så kan personen begära att den personuppgiftsansvarige behåller uppgifterna om det är nödvändigt för att personen ska kunna fastställa, göra gällande eller försvara rättsliga anspråk. Artikel 18 förklarar denna rättighet.
6. Rätten till dataportabilitet. Om en person tillhandahåller personuppgifter om sig själv till en personuppgiftsansvarig baserat på den rättsliga grunden samtycke eller avtal, och den personuppgiftsansvarige behandlar dessa uppgifter på ett automatiserat sätt, så ska den personuppgiftsansvarige förse personen med personuppgifterna i ett strukturerat, allmänt använt och maskinläsbart format, och personen har rätt att överföra uppgifterna till en annan personuppgiftsansvarig utan att den ursprungliga personuppgiftsansvarige hindrar detta. Artikel 20 förklarar denna rättighet.
7. Rätten att invända. Om en personuppgiftsansvarig verksamhet behandlar personuppgifter om en person för att verksamheten ska utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, eller baserat på en intresseavvägning, så kan personen invända mot behandlingen av skäl som hänför sig till personens specifika situation. Den personuppgiftsansvarige ska då sluta behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än personens intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Om behandlingen var för direkt marknadsföring måste den personuppgiftsansvarige upphöra med behandlingen oavsett. Artikel 21 förklarar denna rättighet.

Det är viktigt att förstå att dessa rättigheter inte är absoluta. Faktum är att GDPR begränsar dem på flera viktiga sätt.

Exempelvis gäller en persons rätt till tillgång till en kopia av sina personuppgifter endast i den mån det inte drabbar andras rättigheter och friheter. Det kan betyda att en verksamhet får tillhandahålla en kopia av inspelat material från en övervakningskamera till en person som begär det, men först efter att materialet har maskats så att det bara visar den begärande personen och inte andra. På samma sätt kommer en person som begär att få en kopia av en logg inte få hela loggen, utan endast de delar där den begärande personen förekommer i loggen. Om personen frågar om dessa loggposter tidigare har granskats och i så fall av vem, så kan verksamheten upplysa om när dess personal granskade relevanta delar av loggen (om även denna information loggats), men troligen inte identiteten på de personer som granskade loggen (jfr EU-domstolen mål nr C-579/21 Pankki S, s. 83).

Ett annat exempel på en begränsad rätt är den ofta missförstådda rätten till radering, även kallad rätten att bli bortglömd. I de flesta fall aktualiseras denna rätt när en verksamhet ändå skulle ha behövt radera personuppgifterna. Det beror på att GDPR som utgångspunkt kräver att en organisation slutar behandla personuppgifter om den inte längre behöver uppgifterna. Om organisationen däremot har en lämplig och laglig anledning att behålla vissa personuppgifter har rätten till radering ofta inte företräde.

Mer information om hur varje rättighet begränsas finns i den fullständiga artikeltexten för varje rättighet, länkad ovan.

Bra att veta vid användning av molntjänster

En personuppgiftsansvarig verksamhet ansvarar för att tillgodose människors rättigheter enligt GDPR, även när verksamheten använder en molntjänstleverantör som agerar som personuppgiftsbiträde. Verksamheter bör därför undersöka de molnlösningar som verksamheterna överväger att använda, särskilt SaaS-lösningar, för att klargöra hur organisationen skulle uppfylla t.ex. en begäran om åtkomst, rättelse, radering eller dataportabilitet. Det är klokt att inte utgå ifrån att alla it-lösningar stödjer uppfyllelse av dessa GDPR-rättigheter på ett praktiskt sätt.

Möjliggör exempelvis en SaaS-lösning som utvärderas att personuppgifter rättas och raderas? Kan det göras från ett användargränssnitt eller kräver det att molntjänstleverantören redigerar en databasfil manuellt? Om det finns exportverktyg, ger det verkligen en kopia av alla relevanta personuppgifter i ett tillgängligt format? Om inte, hur mycket ytterligare manuellt arbete kan förväntas för att hitta och exportera ut de uppgifter som återstår?

Olika molnlösningar kan i olika utsträckning stödja en organisations skyldighet att tillgodose dessa GDPR-rättigheter.

Säkerhet

Artikel 32.1 i GDPR kräver att organisationer implementerar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken. De ska göra detta genom att ta hänsyn till:

• den senaste utvecklingen,
• genomförandekostnaderna,
• behandlingens art, omfattning, sammanhang och ändamål, och
• riskerna, av varierande sannolikhetsgrad och allvar, för personers rättigheter och friheter.

Vid bedömningen av vad som är en lämplig säkerhetsnivå ska verksamheter särskilt ta hänsyn till risken för oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller tillgång till de personuppgifter som behandlas.

Artikel 32.1 anger ett antal tekniska och organisatoriska åtgärder som ska vidtas vid behov:

• pseudonymisering och kryptering av personuppgifter,
• förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna,
• förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
• ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Denna syn på risk, och verktygslåda av åtgärder, kommer till viss del att vara bekant för verksamheter som redan arbetar systematiskt med informationssäkerhet. Vad som kan vara obekant till en början är att GDPR kräver att verksamheter ser bortom sitt egenintresse.

I ett traditionellt ledningssystem för informationssäkerhet bestämmer en verksamheter sina egna prioriteringar och mål. Om inte dessa prioriteringar och mål ses över och förtydligas kanske de inte tar hänsyn till riskerna för personers rättigheter och friheter på det sätt som krävs enligt GDPR.

Det kan därför vara särskilt nyttigt för en verksamhet att involvera personer som kan se saker från perspektivet hos de personer vars personuppgifter ska behandlas. Det gör det möjligt att beakta den bredd av risker som dessa människor kan utsättas för, samt de konsekvenser som kan drabba dem, från materiella till immateriella, t.ex. rent känslomässiga.

GDPR:s riskbaserade tillvägagångssätt (s.k. “risk-based approach“)

Beroende på deras karaktär kan personuppgiftsincidenter orsaka allvarliga integritetskränkningar och få omfattande konsekvenser för de personer som drabbas. Säkerhet får mycket uppmärksamhet i samband med personuppgifter, och av goda skäl. Alla personuppgiftsincidenter är dock inte likadana.

Artikel 32.1 i GDPR kräver en säkerhetsnivå som är lämplig i förhållande till risken. Som tidigare nämnts kan de risker som ska beaktas vara mer omfattande än vad vissa organisationer är vana vid. Det betyder dock inte att riskerna alltid är desamma eller att de alltid är lika allvarliga.

Säkerhetsrisker av olika tyngd kommer därför att behöva mötas med säkerhetsåtgärder av olika tyngd. Dessa kallas ofta tekniska och organisatoriska åtgärder, eller TOMs på engelska. GDPR anger att en verksamhet ska ta hänsyn till ett antal faktorer när den vidtar säkerhetsåtgärder, inklusive den senaste utvecklingen och genomförandekostnaderna. Artikel 32.1 i GDPR kräver med andra ord inte perfekt säkerhet – det anses generellt vara omöjligt.

Möjligen kan det väcka förvåning på vissa håll att en verksamhet kan drabbas av en personuppgiftsincident utan att det är ett brott mot GDPR. Frågan är snarare om verksamheten hade vidtagit en nivå av säkerhetsåtgärder som var lämpliga i förhållande till risken. Naturligtvis kan en verksamhet inte godtyckligt bestämma att en minimal säkerhetsnivå råkar vara lämpligast. Ju känsligare uppgifter och behandlingen, och ju mer sannolika och allvarliga riskerna är, desto högre måste säkerhetsnivån vara. Men det innebär inte ett krav på perfektion.

Denna nivå av relativ frihet att bedöma risker och tillhörande åtgärder, som kommer till uttryck i det så kallade riskbaserade tillvägagångssättet, gäller för artikel 32.1 i GDPR. I andra delar av GDPR är tolkningsmarginalerna mer snäva. I vissa fall har identifieras i själva GDPR en risk och behovet av åtgärder för att säkerställa att risken inte förverkligas. Längre ner kommer vi att undersöka ett sådant exempel i artikel 32.4 i GDPR.

Bra att veta vid användning av molntjänster

ISO 27001-certifiering

Verksamheter som överväger att använda molntjänster förlitar sig ofta på en molnleverantörs ISO 27001-certifiering som en del i att påvisa uppfyllelse av GDPR:s säkerhetskrav. Här bör några saker hållas i åtanke.

För det första, när en verksamhet använder en SaaS-molntjänst involverar det ofta 2–3 nivåer av aktörer: den direkta SaaS-leverantören, SaaS-leverantörens infrastrukturleverantör (IaaS), samt infrastrukturleverantörens datacenterleverantör. Bara för att en av dessa aktörer har en ISO 27001-certifiering betyder det inte att de andra aktörerna också är certifierade. Verksamheter bör bedöma på vilka av dessa leverantörsnivåer certifiering behövs med tanke på typen av SaaS-tjänst och behandling.

För det andra bör verksamheter undersöka omfattningen på den relevanta leverantörens ISO 27001-certifiering för att verifiera att den omfattar tillhandahållande av den relevanta tjänsten. Det kan vara av begränsat värde att upptäcka att en leverantörs ISO 27001-certifiering endast omfattar verksamhetens HR-avdelning.

För det tredje kan det vara relevant att se över vilken version av ISO 27001 en leverantör följer eller är certifierad mot. Till exempel adderades till ISO 27001:2022-versionen av standarden integritets- och kontinuitets-åtgärder. Använder leverantören den versionen eller förlitar den sig fortfarande på en äldre version?

För det fjärde, även om en ISO 27001-certifierad leverantör har ett systematiskt förhållningssätt till informationssäkerhet, garanterar det inte nödvändigtvis att leverantörens riskbedömning är i linje med sina kunders. Inte minst vid särskilt känslig behandling kan det vara lämpligt att diskutera med leverantören vilka typer av säkerhetsrisker den har identifierat som relevanta, och vilka typer av säkerhetsåtgärder (så kallade controls på ISO 27001-språk) den har implementerat för att hantera riskerna.

Skydd mot extraterritoriell lagstiftning från tredje land

En annan säkerhetsaspekt av GDPR, som är särskilt relevant för molntjänster, rör GDPR:s regler för att förhindra utlämnanden av personuppgifter till myndigheter i tredje land.

Medan det riskbaserade tillvägagångssättet i artikel 32.1 i GDPR kräver att verksamheter själva bedömer risker och om åtgärder behövs, gör artikel 32.4 en sådan bedömning åt dem. Enligt artikel 32.4 ska verksamheter vidta åtgärder för att säkerställa att deras personal inte överför personuppgifter till myndigheter i tredje land.

Specifikt anger artikel 32.4 i GDPR: “Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige, om inte unionsrätten eller medlemsstaternas nationella rätt ålägger honom eller henne att göra det.“ (Cleuras betoning)

Det möjliggör exempelvis att en molntjänstleverantörs personal tillgodoser ett rättsligt korrekt krav på personuppgifter från polismyndigheten i en EU-medlemsstat. Kravet i artikel 32.4 innebär dock att molntjänstleverantören måste vidta åtgärder för att säkerställa att dess personal inte lämnar ut uppgifter som grundar sig i krav från tredjelands lagar, såsom FISA 702. Artikel 29 i GDPR uttrycker ett krav med samma syfte.

Denna fråga är högst relevant för molntjänster som tillhandahålls av amerikanska leverantörer, eftersom USA är ett tredjeland. Amerikanska molntjänstleverantörer har upprepade gånger beskrivit sina rigorösa rutiner för hur de uppfyller kraven på att lämna ut data till amerikanska myndigheter i enlighet med amerikansk lag. Med andra ord säkerställer amerikanska molnleverantörer motsatsen till GDPR:s krav att de vidtar åtgärder för att säkerställa att sådana utlämnanden inte sker. Vi hävdar att detta hindrar sådana leverantörer från att anlitas som personuppgiftsbiträden enligt artikel 28.1 i GDPR. Det beror på att amerikanska molntjänstleverantörer uppenbarligen inte ger de personuppgiftsansvariga tillräckliga garantier för att uppfylla GDPR:s krav, inklusive de som följer av artikel 28.3 a, 29 och 32.4, och de säkerställer inte skyddet av personers rättigheter.

Cleura har tagit fram en fördjupad rapport om GDPR:s krav för att skydda personuppgifter från att lämnas ut till myndigheter i tredje land. Rapporten förklarar också varför dessa GDPR-krav gäller oavsett EU-US Data Privacy Framework (DPF) och det tillhörande beslutet om adekvat skyddsnivå. Läs mer i rapporten Vad din organisation behöver veta om det tredje lämplighetsbeslutet.

Personuppgiftsincidenter

GDPR definierar en personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Det innebär att ett personuppgiftsintrång måste innebära en säkerhetsincident av något slag, och som inbegriper personuppgifter. En stulen bärbar dator som innehåller personuppgifter, eller ett intrång av hackare som kopierar en databas med personuppgifter, är två exempel på personuppgiftsincidenter.

Om en personuppgiftsincident inträffar kräver artikel 33.5 i GDPR att personuppgiftsansvariga dokumenterar omständigheterna kring incidenten, dess effekter och de korrigerande åtgärder som vidtagits.

Dessutom måste vissa personuppgiftsincidenter anmälas till tillsynsmyndigheten, och en delmängd av dessa måste kommuniceras till berörda personer. Dessa skyldigheter gäller beroende på hur allvarliga riskerna är för de personer som berörs av incidenten.

Om det är osannolikt att en personuppgiftsincident medför en risk för personers rättigheter och friheter behöver den personuppgiftsansvarige inte anmäla intrånget till tillsynsmyndigheten. Övriga överträdelser ska anmälas till tillsynsmyndigheten utan onödigt dröjsmål och, där så är möjligt, senast 72 timmar efter att den personuppgiftsansvarige fått kännedom om överträdelsen.

Om en personuppgiftsincident sannolikt leder till en hög risk för personers rättigheter och friheter, ska den personuppgiftsansvarige informera berörda personer om incidenten utan onödigt dröjsmål. Andra överträdelser behöver inte kommuniceras till berörda personer.

Bra att veta vid användning av molntjänster

När en verksamhet förlitar sig på en molntjänstleverantör kan det vara relevant att gå igenom sina rutiner för att hantera personuppgiftsincidenter.

Vet verksamheten till exempel hur molntjänstleverantören skulle informera verksamheten om en personuppgiftsincident? Övervakar verksamheten den kanalen på ett lämpligt sätt? Skickas informationen från en e-postadress som inte tar emot svar, och i så fall, finns det någon annan överenskommen kanal där verksamheten kan ställa uppföljande frågor och föra en dialog?

Andra förberedelser kan också vara till hjälp, oavsett om verksamheten använder molntjänster. Har verksamheten förmåga att inom angivna tidsramar bedöma om en personuppgiftsincident måste anmälas till tillsynsmyndigheten respektive kommuniceras till berörda personer? Vet verksamheten hur man anmäler en incident till tillsynsmyndigheten och finns det en plan för hur man ska kommunicera en incident till berörda personer?

Den här typen av förberedelser kan göra att verksamheten förebygger förseningar och undviker oordning när klockan tickar och sinneslugn behövs.

Behandlingsregister (ROPA)

Verksamheter som sysselsätter 250 eller fler personer är skyldiga att föra ett behandlingsregister, eller register över behandlingar. Registret ska innehålla vissa obligatoriska uppgifter om de olika typer av personuppgiftsbehandlingar som verksamheten utför. På engelska kallas registret ofta ROPA, som står för Record of Processing Activities. På svenska förekommer benämningen artikel 30-register.

För verksamheter som sysselsätter färre än 250 personer omfattar registerskyldigheten endast:

• behandling som inte är tillfällig,
• behandling som sannolikt kommer att medföra en risk för personers rättigheter och friheter, och
• behandling av vissa känsliga uppgifter som omfattas av artiklarna 9 och 10 i GDPR.

Ett behandlingsregister beskriver de typer av behandlingar som en verksamhet utför som personuppgiftsansvarig. Det är inte ett register där noteringar görs varje gång personuppgifter behandlas. Ett behandlingsregister möjliggör för en verksamhet att få en överblick över hur verksamheten använder personuppgifter, vilket är till stor hjälp i andra delar av GDPR-arbetet.

För de typer av behandlingar som en verksamhet utför som personuppgiftsansvarig ska registret innehålla:

a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
b) Ändamålen med behandlingen.
c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.
e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

Om en verksamhet är ett personuppgiftsbiträde, som behandlar personuppgifter för en personuppgiftsansvarigs räkning, så måste personuppgiftsbiträdet föra ett behandlingsregister även för dessa behandlingar. Det behandlingsregistret ska innehålla:

a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.
b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

Bra att veta vid användning av molntjänster

En situation där det är användbart att ha ett uppdaterat behandlingsregister är när en personuppgiftsansvarig verksamhet vill använda en molntjänstleverantör som personuppgiftsbiträde. Det kräver att parterna ingår ett personuppgiftsbiträdesavtal.

Enligt artikel 28.3 i GDPR ska ett personuppgiftsbiträdesavtal innehålla vissa uppgifter. En personuppgiftsansvarig med ett behandlingsregister kommer redan att ha många av dessa uppgifter lättillgängliga, vilket gör det mycket smidigare att ingå personuppgiftsbiträdesavtalet.

Tillsyn

Varje EU-medlemsstat har en tillsynsmyndighet som ansvarar för att utöva tillsyn så att verksamheter följer GDPR. I Sverige är det Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndighet.

Enligt artikel 58 i GDPR har tillsynsmyndigheter ett antal utredningsbefogenheter. Befogenheterna inbegriper möjligheten att förelägga verksamheter att tillhandahålla information, genomföra revisioner samt att få tillträde till lokaler och utrustning.

En tillsynsmyndighets “korrigerande befogenheter“ inbegriper bland annat att kunna:

• förelägga en verksamhet att pausa eller stoppa specifik behandling av personuppgifter,
• förelägga en verksamhet att ändra hur den behandlar personuppgifter,
• förelägga en verksamhet att informera om en personuppgiftsincident,
• förelägga en verksamhet att avbryta överföringar till ett tredjeland,
• förelägga en verksamhet att radera personuppgifter,
• utfärda administrativa sanktionsavgifter,
• utfärda reprimander.

Befogenheten att utfärda administrativa sanktionsavgifter har fått stor uppmärksamhet på grund av maximinivån på dessa sanktionsavgifter. Överträdelser av vissa bestämmelser i GDPR kan leda till sanktionsavgifter på upp till 20 000 000 euro, eller om det gäller ett företag upp till 4 % av den totala globala årsomsättningen under föregående räkenskapsår, beroende på vilket som är högst. För övriga överträdelser är motsvarande maximinivåer 10 000 000 euro eller upp till 2 %. Observera att för offentliga myndigheter kan maximivärdet vara betydligt lägre. Webbplatsen GDPR Enforcement Tracker publicerar en databas med sanktionsavgifter som kan sorteras efter beloppsstorlek och filtreras efter land. Den största sanktionsavgiften i databasen gäller överföringar till tredjeland.

Även om maximinivån för sanktionsavgifter kan verka hög, så kräver GDPR att varje sanktionsavgift är effektiv, proportionerlig och avskräckande. Sanktionsavgifterna måste vara tillräckligt stora för att göra avtryck och inte vara så låga att det blir mer förmånligt att bryta mot reglerna än att följa dem. Kravet på proportionalitet innebär dock att en sanktionsavgift inte ska vara större än vad som är nödvändigt för att uppnå sanktionsavgiftens ändamål. EU:s tillsynsmyndigheter uppger att de överväger både hur allvarlig en överträdelse är och företagets storlek för att säkerställa att en sanktionsavgift är proportionerlig. Ett företag med högre omsättning bör därför typiskt sett få en större sanktionsavgift än ett företag med mindre omsättning, om båda företagen har brutit mot GDPR på samma sätt och med samma allvarsgrad.

När en tillsynsmyndighet utfärdar en administrativ sanktionsavgift, eller vidtar andra korrigerande åtgärder, kan en verksamhet som är föremål för åtgärden överklaga tillsynsmyndighetens beslut till domstol. En tillsynsmyndighets befogenheter är alltså inte absoluta. Om deras beslut överklagas är det ytterst domstolarna som avgör en sanktionsavgifts giltighet och storlek.

Bra att veta vid användning av molntjänster

Europeiska dataskyddsstyrelsen (på engelska European Data Protection Board, EDPB) bidrar inte bara till att tillsynsmyndigheterna utövar tillsyn på ett enhetligt sätt. EDPB publicerar också riktlinjer och rekommendationer. I EDPB ingår:

• de tillsynsmyndigheter som utövar tillsyn över GDPR i varje EU-medlemsstat, och
• Europeiska datatillsynsmannen (på engelska European Data Protection Supervisor, EDPS), som är den tillsynsmyndighet som utövar tillsyn över dataskyddslagstiftningen för EU:s egna institutioner, såsom EU-kommissionen.

EDPB-vägledning som kan vara särskilt användbar i förhållande till molntjänster inbegriper:

• Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR
• Riktlinjer 4/2019 om artikel 25 inbyggt dataskydd och dataskydd som standard
• Guidelines 9/2022 on personal data breach notification under GDPR och Riktlinjer 01/2021 om exempel på anmälan av personuppgiftsincidenter

Dessutom har Integritetsskyddsmyndighetens webbplats ytterligare vägledning som är relevant för molnet, exempelvis på sidan Säker användning av molntjänster.

Klagomål till tillsynsmyndigheten

Av artikel 77 i GDPR framgår att en person som anser att en verksamhet behandlar personens personuppgifter i strid med GDPR, kan lämna in ett klagomål till tillsynsmyndigheten.

När en tillsynsmyndighet utreder ett klagomål kan det leda till att tillsynsmyndigheten använder sina korrigerande befogenheter, som att förelägga om radering av personuppgifter eller utfärdande av en administrativ sanktionsavgift (se det föregående avsnittet Tillsyn).

Om en tillsynsmyndighet fattar ett sådant rättsligt bindande beslut utifrån en persons klagomål, men personen inte håller med om tillsynsmyndighetens beslut, kan personen överklaga beslutet till domstol. En klagande kan också vända sig till domstol om tillsynsmyndigheten inte hanterar personens klagomål, eller inte inom tre månader uppdaterar personen om hur arbetet med klagomålet fortskrider eller om arbetets resultat.

Bra att veta vid användning av molntjänster

Om en personuppgiftsansvarig verksamhet inte uppfyller sina GDPR-skyldigheter på grund av att en molntjänst som verksamheten använder inte designats på rätt sätt, så kan den personuppgiftsansvariga verksamheten fortfarande hållas ansvarig.

Låt oss exempelvis tänka oss en molntjänst som aldrig utformats för att låta den personuppgiftsansvariga verksamheten förse personer med en kopia av sina uppgifter, eller radera eller begränsa behandling. Då kan en drabbad person fortfarande lämna in ett klagomål till tillsynsmyndigheten mot den personuppgiftsansvariga verksamhet som använder molntjänsten.