Får vi skicka lönebesked via mail?

Frågan om företag får skicka lönespecifikation via mail är en av de vanligaste frågorna vi får. Lönebesked innehåller ofta personuppgifter som klassificeras som känsliga personuppgifter, bl.a. uppgifter om sjukfrånvaro eller fackligt medlemsskap. Även andra uppgifter på lönespecen kan anses som integritetskänsliga, även om de inte per definition utgör "känsliga personuppgifter" enligt GDPR, t.ex. personnummer, löneuppgifter osv.

Uppgifter som utgör känsliga personuppgifter får inte skickas med e-post över öppna nätverk om de inte skyddas. Att skicka information över öppna nät utan att vidta några skyddsåtgärder kan nämligen innebära stora risker.

Om företaget har en intern och väl skyddad e-postserver där e-posten inte går ut på öppna nätverk kan det vara ok att maila lönespecar. Det går även att bra att maila lönebesked om mailet krypteras.

Oaktat detta så innebär e-posthantering generellt en risk eftersom det är lätt att av misstag maila fel person.

En viktig princip är också att det inte går att samtycka till att företaget använder för låg säkerhet. Att inhämta godkännande från anställda att få e-posta lönebesked är alltså inte vägen framåt. Då är det bättre att använda sig av en säkerhetslösning eller att de anställda får logga in på en portal för att ladda ner sina lönebesked. De flesta löneadministrationsverktyg erbjuder denna typ av funktioner, bl.a. för att uppfylla dataskyddsförordningen (GDPR).


En enkel lösning av kravet på dataskyddspolicy och andra GDPR-krav

GDPR är här och många har lagt stora resurser för att hantera de 99 artiklar och lite drygt 200 sidor lagtext. En undersökning gjord månaden innan dataskyddsförordningen började tillämpas visade dock att skrämmande många företagare ännu inte påbörjat sitt arbete. Och även idag upplever jag detsamma när jag är ute på uppdrag och konsulter inom GDPR. Många upplever det som svårt, krångligt och inte sällan prioriteras kärnverksamheten långt för dataskydd och GDPR. Men som tur var finns det idag betydligt mer hjälp att få än per den 25 maj 2018. Flera webbtjänst har lanserats för att hjälpa småföretagare att komma tillrätta med GDPR och få de viktigaste kraven på plats.

En av dessa lösningar är tjänsten GDPR-paket.se som jag själv varit med och ta fram. På GDPR-paket.se säljer vi de dokument, checklistor, handböcker, avtal och policys som behövs för att efterleva dataskyddsförordningen. På GDPR-paket.se får du t.ex. tillgång till en korrekt dataskyddspolicy framtagen av experter inom juridik, IT och informationssäkerhet som du enkelt anpassar utifrån dina egna behov. Snabbt och enkelt.

 


Vad är en känslig personuppgift?

Vad en personuppgift är har jag redan berört i ett tidigare inlägg, läs mer om det här. I detta inlägg tänkte jag istället försöka bringa lite klarhet i den begreppsförvirring som jag ofta springer på när jag är ute och diskuterar frågor om personuppgiftslagen (PUL), dataskydd eller GDPR.

Både PUL och GDPR gör skillnad på personuppgifter och känsliga personuppgifter, bland annat vid fastställande av vilken laglig grund den personuppgiftsansvarige har för behandlingen men även vilka tekniska och organisatoriska skyddsåtgärder som anses lämpliga att införa. I GDPR benämns dessa uppgifter i förordningstextens art 9 för särskilda kategorier av personuppgifter och i stödtexterna till förordningen nämns endast begreppet känsliga personuppgifter någon enstaka gång. För att ytterligare späda på förvirring talar Datainspektionen ibland om integritetskänsliga personuppgifter.

Men vad som är känsligt för gemene man behöver inte nödvändigtvis motsvara vad som anses utgör känsliga personuppgifter enligt PUL och GDPR.

Jag tänkte därför försöka mig på att bryta ner de olika typerna av personuppgifter med exempel.

Personuppgifter

Enligt definitionen i GDPR (se art 4) är en personuppgift "varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare. som ett namn, ett identifikationsnummer [...]"

Namn, personnummer m.fl. utgör personuppgifter som direkt identifierar en person. Ett ip-nummer kan i vissa fall istället indirekt identifiera en person. Oavsett om uppgiften direkt eller indirekt identifierar en person utgör den en personuppgift.

Känsliga personuppgifter

Känsliga personuppgifter enligt GDPR omfattar:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning

Särskilt integritetskänsliga uppgifter

Särskilt integritetskänsliga uppgifter är uppgifter inom framför allt bank- och försäkringsområdet som avser enskilds personliga eller ekonomiska förhållanden, dvs. t.ex.

  • kontonummer
  • uppgift om försäkringsskydd
  • utbetalningar av ersättningar
  • kontohavanden

Även om dessa uppgifter i folkmun skulle anses som känsliga utgör de inte per definition känsliga personuppgifter, vare sig enligt PUL eller GDPR. Datainspektionen har däremot uttalat denna typ av uppgifter ska betraktas som känsliga personuppgifter vid fastställande av vilka lämpliga skyddsåtgärder den personuppgiftsansvarige ska vidta för att skydda de behandlade uppgifterna.

Har du någon fråga kring de olika typerna av personuppgifter? Lämna gärna en fråga eller kommentar nedan.


Sanktioner

Vi har alla hört talas om dem... sanktionerna i GDPR. Upp till det högsta av 20 mEUR eller 4 % av årsomsättningen för ditt företag eller koncern. Därtill löper företag och andra personuppgiftsansvariga och personuppgiftsbiträden risken att drabbas av skadeståndskrav från de drabbade. Så låt oss uppehålla oss lite vid dessa sanktioner. För även om Datainspektionens anslag för utförandet av de skyldigheter som ankommer på tillsynsmyndigheten är i minsta laget, enligt uppgift ca 5 mkr i extra anslag, så finns risken för kraftiga sanktioner ändå kvar. Det har även Datainspektionens generaldirektör Kristina Svahn Starrsjö insett vilket hon redogör för i Datainspektionens tidning Integritet i fokus 1/2017:

I nuläget anser jag att Datainspektionen inte har dessa resurser till sitt förfogande. Det anslag som vi fått för 2017 bedömer jag vara helt otillräckligt för att Datainspektionen ska kunna fungera som tillsynsmyndighet enligt förordningen. Därför har jag lämnat över ett kompletterande budgetunderlag till Justitiedepartementet där myndigheten äskar ytterligare ett antal miljoner kronor i anslag för 2017. Vi behöver bland annat införa en ny webbplats med stöd för säker kommunikation via webbformulär. Informationen därifrån ska med automatik kunna infogas i det digitala ärendehanteringssystemet som vi står i begrepp att upphandla. För att hantera den ökade mängden ärenden behöver vi också anställa ytterligare personal samtidigt som vi behöver höja kompetensen för samtliga anställda vad gäller bland annat språk och EU-rätt.

Även i personuppgiftslagen finns möjligheter till sanktioner, framförallt skadestånd och viten. Nivåerna på dessa sanktioner går dock inte att jämföras med sanktionerna i GDPR där även möjligheten till så kallade administrativa böter införs. De administrativa kostnaderna kan således, beroende på vilken artikel i förordningen som den personuppgiftsansvarige eller personuppgiftsbiträdet inte efterlever, uppgå till maximalt det högsta av 20 mEUR eller 4 % av koncernens årsomsättning.

En av anledningarna till att tillsynsmyndigheten vid bedömning av avgiftens tak ska titta på koncernens omsättning är naturligtvis att en mindre nogräknad personuppgiftsansvarig annars varit frestad att placera all personuppgiftsbehandling i ett eget bolag utan omsättning. Nu är det istället koncernen årsomsättning det föregående budgetåret som ska användas vid fastställandet av taket på de administrativa böterna. Men risken att tillsynsmyndigheten skulle utfärda administrativa avgifter i den storleksordningen får nog anses vara mycket liten för en personuppgiftsansvarig som ändå gjort det man kunnat för att säkra sin behandlingen. De högsta avgiftsnivåerna får rimligen istället anses kunna aktualiseras vid grova och upprepade övertramp som begåtts uppsåtligen.

Vid bedömningen av avgifternas storlek ska tillsynsmyndigheten enligt art 83 bland annat titta på:

  • Överträdelsens karaktär, svårighetsgrad och varaktighet
  • Behandlingens karaktär, omfattning och syfte
  • Antalet berörda
  • Den skada de berörda lidit
  • Har överträdelsen skett av oaktsamhet eller med uppsåt?
  • Om den ansvarige vidtagit åtgärder för att lindra skadan
  • Graden av ansvar hos den personuppgiftsansvarige eller biträdet med beaktande av de säkerhetsåtgärder som vidtagits
  • Tidigare överträdelser
  • Samarbetet med tillsynsmyndigheten
  • Vilken typ av personuppgifter som berörs (vanliga eller känsliga personuppgifter)
  • Det sätt överträdelsen kom till tillsynsmyndighetens kännedom
  • Om den personuppgiftsansvarige eller personuppgiftsbiträdet efterlevt tidigare beslut om säkerhetsåtgärder från tillsynsmyndigheten
  • Tillämpandet av godkända certifieringar och uppförandekoder
  • Andra försvårande eller förmildrande omständigheter, t.ex. ev. ekonomisk vinst som görs eller förlust som undviks genom överträdelsen.

Varje tillsynsmyndighet ska därtill säkerställa att påförande av administrativa sanktionsavgifter i varje enskilt fall är effektivt, proportionellt och avskräckande. Hur detta i praktiken kommer att fungera ska bli intressant att följa.


Mer om DPO-rollen

Jag har diskuterat dataskyddsombudets roll enligt GDPR i ett tidigare inlägg. I detta inlägg tänkte jag ytterligare fördjupa mig i ämnen och ge min syn på rollen som DPO (data protection officer).

Enligt GDPR är vissa personuppgiftsansvariga skyldiga att utse en DPO. Även om en sådan skyldighet inte föreligger för vissa företag, kan det ändå vara klokt att utse en DPO för att säkerställa att behandlingen utgörs i enlighet med lagstiftningen. Det är även klokt att, om företaget anser sig inte behöva utse en DPO enligt GDPR, att dokumentera hur bedömningen gjorts för att säkerställa att detta beslut fattats i enlighet med GDPR.

Många organisationer och företag väljer att istället hyra in en DPO på konsultbasis, hellre än att anställda en egen DPO. Förutom att övervaka att personuppgiftsbehandlingen sker enligt dataskyddsförordningen kan en DPO fungera som kontaktperson mot tillsynsmyndigheten och mellan olika enheter inom en organisation. Att utse en DPO utanför organisationen hjälper även att trygga DPOs självständighet och oberoende på ett effektiv sätt.

Det är av stor vikt att en DPO involveras i aktuella personuppgiftsfrågor så snart som möjligt. Vid utförandet av så kallade konsekvensanalyser finns det därtill en uttrycklig skylighet att involvera och rådfråga DPOn. Att involvera DPOn vid ett tidigt skede är även en förutsättning för att uppfylla kravet på privacy by design och bör vara ett naturligt steg i varje företags utvecklingsprocesser.

Den personuppgiftsansvarige bör därför tillse att:

  • DPOn bereds möjligheten att delta i möten på strategiska och taktiska möten gällande företagets behandling av personuppgifter
  • DPOn bereds möjligheten att delta i beslut som berör personuppgiftsfrågor
  • All relevant information om företagets personuppgiftsbehandlingar lämnas till DPOn i god tid för att DPOn ska kunna lämna god rådgivning
  • DPOns bedömningar och rekommendationer ska alltid övervägas. I de fall DPOns rekommendationer inte följs, bör ett sådant beslut, inkluderande en motivering till beslutet, dokumenteras
  • DPOs utan dröjsmål informeras om eventuella personuppgiftsincidenter

Det rekommenderas att den personuppgiftsansvarige antar styrande riktlinjer för när en DPO bör konsulteras.

I art 39.1 anges de uppgifter som en DPO åtminstone bör ha. Det finns däremot inget i GDPR som hindrar att DPO även utför andra uppgifter så länge som DPOs oberoende ställning inte riskeras.


Lagstiftningsprocessen och viktiga datum för GDPR

Europeiska unionens officiella tidning (förkortat EUT), är en officiell tidning som ges ut av Europeiska unionen och den enda publikation som varje vardag offentliggörs på unionens samtliga officiella språk. Tidningen omfattar två serier, en för lagstiftning och en för meddelanden och upplysningar. I lagstiftningsserien publiceras bland annat förordningar, direktiv, beslut, rekommendationer och yttranden. Serien för meddelanden och upplysningar omfattar istället bland annat domar och protokoll från EU-parlamentets sammanträdanden.

Alla lagstiftningsakter måste offentliggöras i Europeiska unionens officiella tidning innan de kan träda i kraft. Genom publiceringen i tidningen anses alla medborgare i unionen och andra juridisk personer ha fått vetskap om den. Det är även från tidpunkten för offentliggörandet som fysiska och juridiska personer kan opponera sig mot lagstiftningsakten genom att väcka talan om ogiltigförklarande av lagstiftningen vid EU-domstolen.

Publiceringen av en lagstiftningsakt är det sista steget i lagstiftningsförfarandet och har då föregåtts av omfattande förhandlingar. I det ordinarie lagstiftningsförfarandet föreslår EU-kommissionen (som består av en unionsmedborgare från varje medlemsland) nya lagstiftningsakter medan EU-parlamenten (består av 751 ledamöter som väljs direkt i allmänna val) och EU-rådet (består av medlemsländernas stats- och regeringschefer) därefter lagstiftar gemensamt. Både EU-parlamentet och EU-rådet måste alltså vara överens om ett lagförslag och båda institutionerna äger rätt att ändra förslaget efter att det inkommit från kommissionen. Efter att EU-kommissionen lagt ett förslag inleder EU-parlamenten lagstiftningsbehandlingen och skickar därefter sin ståndpunkt till EU-rådet. Om EU-rådet accepterar EU-parlamentets ståndpunkt antas lagen, annars måste EU-rådet redogöra för sin ståndpunkt och översända densamma till EU-parlamentet och en andra lagstiftningsvända påbörjas.

  • Dec 2015 – Politisk överenskommelse om förordningen
  • April 2016 – Formellt beslut om GDPR
  • Maj 2016 – Ikraftträdande GDPR
  • 15 maj 2018 – GDPR ska tillämpas

 


Incidentrapportering

Incidentrapportering är ett helt nytt krav som införs i GDPR. Något motsvarande krav finns inte i personuppgiftslagen och kravet kring incidentrapportering borde få även den mest luttrade VDn att skälva av fasa. Kravet innebär en skyldighet att, under vissa angivna förutsättningar, anmäla personuppgiftsincidenter till Datainspektionen inom 72 timmar från den personuppgiftsansvarige fick kännedom om incidenten. Om den personuppgiftsansvarige inte lyckas anmäla personuppgiftsincidenten inom 72 timmar ska den personuppgiftsansvarige motivera orsaken till förseningen. Kravet återfinns i art 33. Det införs därtill en skyldighet att informera den registrerade, dvs. den som uppgifterna tillhör, i de fall en personuppgiftsincident sannolikt leder till hög risk för de registrerades rättigheter och friheter, se art 34.

Att på så sätt tvinga företag och organisationer att blotta sin verksamhets brister inför tillsynsmyndigheten och de registrerade syftar bl.a. till att tvinga personuppgiftsansvariga att ta sitt personuppgiftsansvar på allvar. Förutom kraftiga sanktionsavgifter och skadestånd kan ett felande bolag därtill tvingas se sitt varumärke devalveras av allmänhetens och kundernas dom.

Vi kommer säkerligen de kommande åren få se företag gå under på grund av att deras varumärken förstörts efter en allvarlig personuppgiftsincident.


Dataskyddsombudets (DPO) roll

Personuppgiftsombud, dataskyddsombud, DPO, chief privacy officer, data protection officer... Hur hänger begreppen ihop?

GDPR introducerar begreppet dataskyddsombud, en roll som har ett utökat ansvar jämfört med dagens personuppgiftsombud. En DPO (eller en data protection officer) är det engelska begreppet på ett dataskyddsombud (ibland förekommer det att begreppet data privacy officer används synonymt men GDPRs begrepp är data protection officer. Den engelska förkortningen DPO används mycket ofta även i Sverige. En CPO eller en chief privacy officer är ett relativt nytt begrepp som börjar synas i vissa organisationer med mycket omfattande personuppgiftsbehandlingar, gränsöverskridande organisationer och eller inom större koncerner. En CPO kan exempelvis vara ansvarig för en grupp av dataskyddsombud som verkar inom en koncern.

Men vad innebär då dataskyddsrollen och vilka kvaliteter ska dataskyddsombudet inneha?

Att utse ett dataskyddsombud är obligatoriskt enligt GDPR om något av följande tre kriterier är uppfyllt:

  1. Den personuppgiftsansvarige är en myndighet eller offentligt organ,
  2. Kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning,
  3. Kärnverksamheten består av behandling av känsliga personuppgifter i stor omfattning.

Dataskyddsombudet ska rapportera till högsta förvaltningsnivå (art 38) och därtill ha de yrkesmässiga kvalifikationer som krävs (art 37), i synnerhet sakkunskap om lagstiftning och praxis på området och förmågan att fullgöra de uppgifter som avses i art 39.

Dataskyddsombudet måste alltså inte bara kunna klara av de juridiska frågeställningar, utan även ha en grundläggande förståelse för IT, vara väl insatt i verksamheten och ha en sådan ställning i organisationen att denna kan utföra de uppgifter som dataskyddsombudet har att utföra.

Har er organisation inte utsett ett dataskyddsombud än? Då är det hög tid att se över hur dataskyddsarbetet ska bedrivas, både inför och efter ikraftträdandet av förordningen.


Vad är egentligen en personuppgift?

I min yrkesroll är det inte ovanligt att jag springer på frågeställningar som:

  1. Vad är en personuppgift?
  2. Om vi tar bort namn och personnummer har vi väl anonymiserat uppgifterna?
  3. IP-nummer kan väl inte vara en personuppgift? Osv osv.

Den legala definitionen av en personuppgift återfinns i art 4. Där anges kortfattat att en personuppgift är en uppgift som direkt eller indirekt identifierar en person. En uppgift behöver alltså inte direkt identifiera en person (som t.ex. ett namn, en bild eller ett personnummer) utan det räcker med att uppgifterna indirekt kan härledas till en person. Av den anledning kan titlar och andra referenser utgöra personuppgifter, t.ex. kan en referens till "kungen i Sverige" innebära att man har att göra med personuppgifter.

Även IP-nummer har betraktats som en uppgift som i vissa fall kan anses indirekt utpeka en person.

Sammanfattningsvis är det avgörande om det av uppgiften går att fastställa vem uppgiften avser som är avgörande om uppgiften är en personuppgift. Så ja, om dina system även efter borttagande av namn och personnummer innehåller uppgifter som går att hänföras till en person så är informationen att betraktas som personuppgifter. Vilket i syn tur innebär att GDPR ska tillämpas på informationsmängden.


Dataportabilitet

En av de vanligaste missuppfattningarna när det gäller regeln om dataportabilitet i art 20 är att den skulle omfatta all data som en personuppgiftsansvarig lagrar om en viss individ. Så är inte fallet. Dataportabilitetsregeln är till skillnad från reglerna om transparens, insyn, åtkomst och registerutdrag osv. begränsad till den data som den enskilde själv har lämnat till den personuppgiftsansvarige. Har uppgifterna inhämtats från någon annan, är den vedertagna uppfattningen att dataportabilitetsregeln inte kan tillämpas om t.ex. en tjänsteleverantör sätter sig på tvären.

Regeln om dataportabilitet kommer troligtvis få stor betydelse för sociala medier och tjänster som t.ex. gmail, dropbox, onedrive, google docs, twitter osv. där regeln avsevärt kommer att förenkla byte av tjänsteleverantör. Med en enkel begäran kommer alla bilder, dokument och inlägg kunna flyttas till en ny leverantör i ett maskinläsbart skick och automatiskt utan ansträngning för den registrerade.

Men hur ska andra tjänstebolag förhålla sig till regeln, t.ex. banker, försäkringsbolag osv? Och finns det något intresse från individer att kunna nyttja regeln om dataportabilitet på den typen av tjänster? Oavsett hur det förhåller sig med den saken så gäller GDPR. Hur denna rätt kommer användas av individer och tillämpas av personuppgiftsansvariga får framtiden utvisa.