Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Gör rätt i rättighetshanteringen

gor-ratt-i-rattighetshanteringen.jpg

Integritetsskyddsmyndigheten har aviserat att 2021 kommer bli ett år när registrerades rättigheter och klagomål kommer vara i fokus. Det är därför intressant att sätta sig in i tre nya beslut som rör förfarandet när en registrerad vill utöva en rättighet (fallen är initierade i andra länder, vilket visar att tillsynsmyndigheterna samarbetar). Det är viktigt för personuppgiftsansvariga att snabbt identifiera om de fått in ett klagomål, eftersom de behöver iaktta korta tidsfrister. Gör den personuppgiftsansvarige inte som den registrerade begär är det viktigt att motivera sitt ställningstagande. I de tre aktuella besluten meddelade Integritetsskyddsmyndigheten reprimander, vilket kan leda till framtida problem för berörda bolag. JP Infonets expert Monika Wendleby analyserar fallen.

BAKGRUND

Det finns strikta förfaranderegler i artikel 12 GDPR som ska tillämpas när en registrerad vill utöva en rättighet (till exempel begära ett registerutdrag eller få en uppgift raderad). Att inte hantera förfarandereglerna rätt kan leda till sanktioner (se artikel 83 GDPR) eller andra åtgärder (se artikel 58 GDPR) även om organisationen i övrigt hanterat GDPR på ett korrekt sätt. Med ett större fokus från Integritetsskyddsmyndigheten på registrerade och deras klagomål är det viktigt för alla personuppgiftsansvariga att reflektera över sin rättighetshantering och förbättra den vid behov. 

Tre aktuella fall från Integritetsskyddsmyndigheten belyser några av kraven i artikel 12 GDPR. Det första fallet rörde Rebtel Networks AB (fortsättningsvis Rebtel) se beslut den 23 mars 2021, dnr DI-2020-10561. I det fallet konstaterade myndigheten att Rebtel brutit mot artikel 12.3 GDPR när den genomfört en radering för sent och lämnat felaktiga besked (även brott mot artikel 17 GDPR noterades). Även det andra fallet Klarna bank AB (fortsättningsvis Klarna) rörde brott mot artikel 12.3 GDPR men i det prövades även artikel 12.6 GDPR (beslut den 31 mars 2021, dnr DI-2020-10518). Det tredje fallet rörde Spotify AB (fortsättningsvis Spotify), se beslut den 24 mars 2021, dnr DI-2020-10541. I det prövades hur Spotify hade hanterat en invändning och Integritetsskyddsmyndigheten konstaterade brister i förhållande till artikel 12.4 GDPR, eftersom bolaget missat att lämna ett tydligt svar. 

I samtliga fall hade klagomålen initierats i andra länder och sedan överlämnats till Integritetsskyddsmyndigheten. Av besluten framgår att flera andra länders tillsynsmyndigheter medverkat genom förfarandet för enlighet i gränsöverskridande ärenden, vilket visar att det europeiska samarbetet verkar fungera bättre och bättre.

Fallen ger vissa svar hur artikel 12 GDPR, som inte alltid är lätt att bena ut, ska tillämpas. I den här analysen kommer jag först gå igenom fallen och sedan tematiskt tydliggöra vad de innebär för alla personuppgiftsansvariga.

REBTEL-FALLET

Den spanska tillsynsmyndigheten tog emot ett klagomål från en kvinna som utan framgång försökt få Rebtel att sluta skicka e-postmeddelanden, efter att hon tagit bort sitt konto hos företaget. 

Kvinnans begäran om radering gjordes den 18 september 2019, men radering skedde först den 9 november 2020, ett drygt år efter begäran. Rebtel förklarade att detta berodde på att bolaget missat att hantera förfrågan som en begäran om radering inledningsvis. Detta berodde på att förfrågan inte hade flaggats som ett ärende enligt dataskyddsförordningen, då dataapplikationen inte uppfattat någon referens till dataskyddsförordningen på spanska. Bolaget uppgav även att man vidtagit en rad olika åtgärder för att förhindra att något liknande skulle kunna inträffa igen: förstärkning av processer kring identifiering, utbildning av kundtjänstagenter samt förbättring av sitt IT-stöd. 

Integritetsskyddsmyndighetens beslut rör artikel 12.3 GDPR, som innehåller tidsfrister för hantering av rättigheter, och artikel 17.1 GDPR som anger att den registrerade utan dröjsmål ska få radering till stånd. Myndigheten finner att Rebtel hade brutit mot båda bestämmelserna eftersom bolaget inte har raderat utan onödigt dröjsmål. Här konstateras även att bolaget inte hade verkställt en radering inom den frist på en månad som stipuleras i artikel 12.3 GDPR utan fortsatt göra utskick. Bolaget hade även brutit mot artikel 12.3 GDPR när det felaktigt uppgett sig ha verkställt raderingen. Däremot hade bolaget inte brutit mot GDPR när det sparade ”...de uppgifter som behövs för att kunna visa att begäran har hanterats i enlighet med dataskyddsförordningen.”

KLARNA-FALLET

Även Klarna bank fick en reprimand för att banken brutit mot artikel 12.3 GDPR när den lämnade ut ett registerutdrag för sent. Fallen hade inletts i Tyskland och Österrike och hade senare överlämnats till Integritetsskyddsmyndigheten.

Klarna-beslutet rörde två klagomål, men endast i ett fall hade en felaktig hantering skett. Klarna hade i det fallet dröjt fem månader med att lämna ett registerutdrag och alltså överskridit tidsfristerna i artikel 12.3 GDPR. Som förklaring angav Klarna att begäran kommit in på ett annat sätt än det som Klarna anvisat (dataskyddsgruppen), vilket lett till missen. 

I det andra fallet hade Klarna lämnat ett registerutdrag i rätt tid men den klagande fick av något skäl inte tillgång till beslutet och anmälde detta till Klarna. Klarna begärde då få en alternativ e-postadress. I Integritetsskyddsmyndighetens beslut har detta klagomål prövats mot artikel 12.6 GDPR som handlar om rätten att begära att ”…ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls”. I skälen klargörs inte hur Integritetsskyddsmyndigheten resonerat i fallet, men eftersom ingen sanktion aktualiserades få man anta att myndigheten fann förfarandet vara i enlighet med artikel 12.6 GDPR.

SPOTIFY-FALLET

I Spotify-fallet hade den danska tillsynsmyndigheten fått ta emot ett klagomål från en person som haft ett gratiskonto hos Spotify. Klagomålet överlämnades till Integritetsskyddsmyndigheten. 

Av klagomålet framkom att klaganden flera gånger bett Spotify att radera hens kontouppgifter. Hen hade då fått svar att uppgifterna endast hanterades av PayPal, vilket hen ifrågasatte då hen inte kunnat teckna sig för ytterligare en kostnadsfri provperiod på motiveringen att kortet redan hade använts för en sådan.

Spotify förklarade att bolaget inte behandlade personuppgifter kopplade till kort utan att man i stället behandlade ”…unika identifierare för de betalkort eller ’instrument’ (’unika betalningsinstrumentidentifierare’) som används av en kund vid registrering av kostnadsfria provperioder”. Den rättsliga grunden för den behandlingen uppgavs vara berättigat intresse (kunna motverka bedrägerier). 

Bolaget uppgav vidare att man flera gånger före GDPR:s ikraftträdande hade besvarat begäranden från personen. I juni 2018 besvarades ytterligare en begäran genom att Spotify förklarade att ”…det inte lagrar några kortuppgifter utan endast använder en algoritm för att se om ett kreditkort har använts för att ta del av ett Spotify-erbjudande tidigare”. Bolaget uppgav även att om det ”…hade haft anledning att tro att klaganden önskade mer detaljer om dessa kategorier av personuppgifter hade bolaget tillhandahållit det”. Bolaget framhöll även att personen varken ”…nämnde förordningen eller frågade efter den rättsliga grunden för behandlingen” gick bolaget inte närmare in på legala detaljer som till exempel hur intresseavvägningen sett ut”. Bolaget berättade att man numera vidtagit flera åtgärder som att utbilda kundtjänstmedarbetare rörande rättighetshantering och att den aktuella hanteringen berodde på den mänskliga faktorn.

I Integritetsskyddsmyndighetens beslut prövas frågan utifrån artiklarna 17.1 c GDPR (radering efter invändning), 21.1 GDPR (invändning på grund av den registrerades egna skäl) och artikel 12.4 GDPR (motivering av svar). 

Myndigheten konstaterar inledningsvis att klagandens skrivelse får ses som en invändning av skäl som hänför sig till hans specifika situation (behandlingen hindrar att hans kortnummer inte kan återanvändas för att registrera nya kostnadsfria perioder). Vidare konstateras att Spotify med stöd av skäl 147 haft fog för att åberopa ett berättigat intresse:

Vid den intresseavvägning som ska göras mellan bolagets berättigade intresse och klagandens intressen, rättigheter och friheter, konstaterar IMY att bolagets berättigade intresse väger tungt. Behandlingen framstår som något som klaganden rimligen kan förvänta sig vid registrering av en kostnadsfri provperiod och inte särskilt integritetskränkande. Uppgifterna i sig är inte heller att betrakta som integritetskänsliga. Vid en sammanvägd bedömning anser IMY att bolaget har visat avgörande berättigade skäl som väger tyngre än klagandens intresse av att hans kortuppgifter kan återanvändas för att registrera nya kostnadsfria provperioder på bolagets tjänster och att hans personuppgifter inte ska behandlas.

Eftersom bolaget haft fog för den fortsatta behandlingen har ingen överträdelse skett enligt artikel 17 eller 21 GDPR. Däremot ifrågasätter myndigheten hur bolaget utformat sina besked till klaganden:

--- Bolaget har… fört fram att anledningen till att bolaget i sitt svar till klaganden inte informerat om sin rättsliga grund för behandlingen, sin intresseavvägning eller möjligheten att klaga till tillsynsmyndigheter berott på att klaganden inte nämnt personuppgifter eller dataskyddsförordningen i sin kommunikation med bolaget och att klaganden kort där innan fått information om detta genom bolagets integritetspolicy som började gälla den 25 maj 2018. IMY konstaterar dock att klaganden uttryckligen angett att det gällt kreditkortsuppgifter och för vilka ändamål han menade att uppgifterna får behandlas, vilket svårligen kan förstås som annat än som personuppgifter och hänvisningar till dataskyddsreglerna. Som IMY ovan konstaterat och bolaget också själv angett ska klagandens begäran dessutom uppfattas som en invändning enligt artikel 21, vilket därmed har inneburit en skyldighet för bolaget att meddela ett för klaganden individualiserat beslut enligt dataskyddsförordningen. Eftersom bolagets beslut var negativt skulle bolagets svar enligt skäl 59 varit motiverat och enligt artikel 12.4 innehållit orsaken till detta och klagohänvisning, vilket det inte gjorde. Vad bolaget anfört om att information om detta framgått av bolagets integritetspolicy är inte tillräckligt. Detta eftersom det rört sig om ett individualiserat beslut och den enskilde inte kan förväntas ta del av en sådan policy i sin helhet för att dra slutsatser om vilken typ av beslut som bolaget därmed fattat, särskilt när bolaget varken angett vilken rättslig grund behandlingen baserats på eller att klagandens invändning hade avslagits.

Mot denna bakgrund finner IMY att bolagets svar av den 8 juni 2018 inte varit tillräckligt motiverat enligt artikel 12.4 eftersom bolaget inte på ett klart och tydligt sätt har redogjort för vilka uppgifter som behandlas, att uppgifterna behandlas med stöd av ett berättigat intresse och vad det berättigade intresset är samt att svaret inte innehållit information om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning. Spotify har därigenom behandlat personuppgifter i strid med artikel 12.4 dataskyddsförordningen.

HANTERA TIDSFRISTER

Fallen belyser hur viktigt det är att hantera en begäran skyndsamt. Enligt artikel 12.3 GDPR är den tid den personuppgiftsansvarige har på sig en månad, vilket är en kort tid om inte alla processer är tydliga och rutiner finns. 

I artikeln finns en tilläggstid på två månader som kan utnyttjas vid en mer komplicerad begäran eller många samtidigt inkomna begäranden (i dagsläget finns ingen tydlig rättspraxis vad som anses komplext eller hur många som behöver vara inkomna). Jag har ibland sett att personuppgiftsansvariga mer slentrianmässigt förlänger tiden med två månader utan redovisa tydliga skäl för detta. Då tilläggstiden inte är automatisk krävs dock att skälen klargörs (förklara vad som är komplicerat respektive hur begreppet ”antalet inkomna begäranden” har tolkats). En annan slamkrypare är att man inte kan använda förlängningstiden för att klargöra om det finns skäl att bevilja eller avslå en begäran. Jämför man med artikel 12.4 GDPR så ser man att besked om varför åtgärder inte vidtas ska ges inom en månad. Jag tror därför att tilläggstiden bara kan användas om man beviljar begäran helt eller delvis och för att då kunna verkställa beslutet. 

De fall som prövats har inte gällt ”ostrukturerad information”. En registrerad kan förstås också framställa en rättighetsbegäran kopplad till en sådan till exempel genom att begära registerutdrag eller radering av ”allt ni har om mig”. Har organisationen mycket ostrukturerade personuppgifter, till exempel mejl, Word- och Excelfiler, lagrade kan detta bli bekymmersamt. För att klara av den typen av begäranden korrekt behöver man ha mycket stabil GDPR-infrastruktur på plats. 

FÖRSTÅ VAD DEN REGISTRERADE VILL

De tre fallen är intressanta och visar på vikten av att personuppgiftsansvariga förstår vad de registrerade vill. En viktig del i detta är att utgå ifrån den registrerades perspektiv. Hen kanske inte kan rätt juridiska begrepp (se både Rebtel- och Spotify-fallen) eller förstår den interna beslutsgången (se Klarna-fallet). Detta är inte heller något som den registrerade behöver ha koll på (se Integritetsskyddsmyndighetens motivering i Spotify-fallet ovan som klargör detta tydligt). Tvärtom ligger ansvaret att förstå och tolka hos den personuppgiftsansvarige. 

Vänder den registrerade sig till organisationen med en begäran kopplad till en GDPR-rättighet behöver organisationen hantera den oavsett om detta görs enligt den rutin organisationen satt upp eller inte. I Klarnas fall hade den registrerade inte använt det kontaktsätt som anvisats, vilket inte sågs som en ursäkt. I Rebtel-fallet var det inte ursäktligt att verksamhetsstöden inte snappade upp begäran (det spanska ordet för förordningen hade inte använts). För att personuppgiftsansvariga ska klara det här kravet krävs fortlöpande utbildning av medarbetare och test av sina system.

KOPPLING MELLAN INVÄNDNING OCH RADERING

Spotify-fallet visar även på hur viktigt det är att sätta sig in i rättigheten invändning för personuppgiftsansvariga som åberopar berättigat intresse eller allmänt intresse/myndighetsutövning som lagliga grunder. Den registrerade har i dessa fall nämligen rätt att göra invändningar ”…av skäl som hänför sig till hans eller hennes specifika situation”, se artikel 21.1 GDPR. Bestämmelsen ger den registrerade rätt att åberopa vilka skäl som helst för sin begäran (i Spotifys fall att hen ville kunna gång på gång utnyttja gratismånader) och detta ska sedan prövas. Eftersom den registrerade inte behöver koppla sin begäran till korrekta begrepp i GDPR eller ens nämna ordet dataskyddsförordningen kan den här typen av begäran lätt tappas bort. Vill någon att något ska raderas och berättar varför är det därför viktigt att förstå att man fått en invändning att pröva.

Här finns ytterligare en slamkrypare som många kanske missat. Genom GDPR har en förskjutning gjorts av vem som ska visa vad när en invändning prövas. I artikel 21.1 GDPR finns en bevisbörderegel: den personuppgiftsansvarige får efter en invändning inte längre behandla personuppgifterna såvida denne inte ”…kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter”. Europeiska dataskyddsstyrelsen tydliggör hur denna skrivning skiljer sig från äldre rätt i sin riktlinje rörande sökmotorer (Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR (part 1) Version 2.0 Adopted on 7 July 2020):

29. Under the Directive, the data subject had to base his or her request “on compelling legitimate grounds relating to his [or her] particular situation”. In respect of the GDPR, a data subject can object to a processing “on grounds relating to his or her particular situation”. He or she thus no longer has to demonstrate “compelling legitimate grounds”.

30. The GDPR therefore changes the burden of proof, providing a presumption in favour of the data subject by obliging on the contrary the controller to demonstrate “compelling legitimate grounds for the processing” (Article 21.1). ---

När jag arbetar med GDPR ser jag många personuppgiftsansvariga, kanske särskilt i offentlig sektor när grunderna allmänt intresse och myndighetsutövning har använts, som utgår ifrån att det räcker att konstatera att lagen ger dem en rätt att behandla och lagra. Man kan dock inte stanna där utan behöver tydligare väga sina egna skäl mot de som den registrerade fört fram. Bevisbördan ligger nämligen på den personuppgiftsansvariga och den registrerade behöver inte numera inte heller visa ”compelling grounds” (se citatet). Den personuppgiftsansvarige har istället att redovisa avgörande berättigade skäl varför den har rätt att ha kvar personuppgifterna.

När jag skrev boken ”Dataskyddsförordningen GDPR : Hantera registrerades rättigheter” (Sanoma Utbildning, 2021, s. 465) tog jag ett exempel på detta utifrån den aktuella frågan om smittspårning (ett starkt samhällsintresse i dessa tider):

Dataskyddsförordningen innehåller inte någon förklaring till vad som kan anses utgöra ”avgörande berättigade skäl”. Artikel 29-gruppen har ett intressant exempel kopplat till profilering för att förutsäga spridningen av smittsamma sjukdomar. En sådan profilering kan gynna samhället i stort (eller den bredare allmänheten) och (inte enbart) den personuppgiftsansvariges affärsintressen. Att åberopa hantering av smittsamma sjukdomar utgör dock inte alltid avgörande berättigade skäl. I Europeiska dataskyddsstyrelsens riktlinje 2020 om coronaviruset framhålls att personuppgiftsansvariga i första hand bör använda anonymiserade uppgifter och undvika personuppgifter i smittspårningsappar.

Det sagda gör att invändningar är mycket komplexa att hantera: dels förstå att de gjorts, dels hantera dem rätt. Utan att förstå om en invändning gjorts är det också svårt att hantera radering enligt artikel 17 GDPR rätt. Och: hamnar man fel blir det svårt att motivera sina ställningstaganden, vilket kan leda till problem enligt artikel 12.4 GDPR (se mer nedan).

IDENTIFIERING

Ytterligare en slamkrypare är regleringen kring identifikation av den registrerade. Jag hör ofta att personuppgiftsansvariga regelmässigt avkräver registrerade id-uppgifter (till exempel att de ska uppvisa legitimation eller identifiera sig med en elektronisk tjänst som Bank-Id). Detta är dock fel i förhållande till både artikel 11.2 och 12.2 och 6 GDPR. Bestämmelserna är otydliga och framstår som delvis motsägelsefulla. 

Även om Klarna-fallet inte är särskilt tydligt verkar det som Integritetsskyddsmyndigheten anser att bolagets begäran om att få en ny mejladress skulle kunna falla under artikel 12.6 GDPR. I Klarnas fall hade bolaget dock rätt att vidta åtgärden eftersom den registrerade inte nåtts av Klarnas svar, vilket förstås är fullt rimligt (jämför även artikel 12.2 GDPR och kravet att underlätta för den registrerade; denna artikel åberopades dock inte av myndigheten).

REDOVISA SIN BEDÖMNING

Integritetsskyddsmyndigheten prövar även artikel 12.4 GDPR i Spotify-fallet och klargör att den registrerade måste redovisa sina skäl om den inte gör som den registrerade vill, i Spotifys fall genom att berätta om hur intresseavvägningen gjorts. Artikel 12.4 GDPR ställer krav på en motivering och liknar därför mycket de krav som ställs på myndigheter att motivera sina ställningstaganden i beslut. När jag skrev den tidigare nämnda boken om registrerades rättigheter (inklusive tillhörande arbetsbok) kallade jag detta för 12:4-beslut för att tydliggöra kravet. 

Här är det viktigt att också ha koll på artikel 5.2 GDPR och principen om ansvarsskyldighet. Artikeln ställer krav på personuppgiftsansvariga att fortlöpande dokumentera sina ställningstaganden. Har en personuppgiftsansvarig angett den lagliga grunden berättigat intresse i en integritetspolicy måste utgångspunkten vid en rättighetsbegäran vara att utgå ifrån den grund som angetts, eftersom denna måste anses ha ett högt bevisvärde. Skulle den personuppgiftsansvariga i detta läge vilja argumentera för en annan laglig grund i 12:4-beslutet kan detta leda till att slutsatsen att den inte uppfyllt sin informationsplikt (artikel 13 och 14 GDPR) korrekt.

Att tydliggöra sin motivering i ett 12:4-beslut är ett helt logiskt krav, om klagomål ska få en praktisk innebörd. Det är det som sätts på pränt i de besluten som Integritetsskyddsmyndigheten sedan bedömer i sin klagomålshantering. För myndigheter kan 12:4-beslut dessutom överklagas till förvaltningsdomstol, vilket gör att även sådana kan komma att pröva rättighetsfrågorna.

VAD INNEBÄR EN REPRIMAND?

I alla tre fall stannade Integritetsskyddsmyndighetens beslut på att reprimand meddelades. Detta kanske inte framstår som så avskräckande när den maximala sanktionen för felaktig rättighetshantering är 20 miljoner euro (10 miljoner kronor för offentlig sektor). Betyder då detta att personuppgiftsansvariga inte behöver oroa sig?

En reprimand kan enligt artikel 58.2 GDPR meddelas för mindre allvarliga förseelser. Det som beaktades i fallen var att det rörde enstaka misstag och att flera åtgärder vidtagits för att liknande misstag inte skulle kunna inträffa igen. I två av fallen hade den personuppgiftsansvariga dessutom ”enbart” hanterat artikel 12 GDPR på ett felaktigt sätt och i övrigt haft fog för sin personuppgiftsbehandling. Alla fallen inträffade dessutom för rätt lång tid sedan. Detta nämns inte i motiveringen till beslutet men rimligen har det haft betydelse: ju längre tid som går, desto mer borde personuppgiftsansvariga ha hunnit hantera, se artikel 83.1 a GDPR (begreppet ”varaktighet”).

En komplikation (som Integritetsskyddsmyndigheten inte tydligt berör i besluten) är att artikel 58.2 b GDPR anger att reprimander kan meddelas vid ”behandlingar” som bryter mot bestämmelser i GDPR. Två av bolagen bröt mot en förfarandebestämmelse i artikel 12 GDPR – kan det anses vara en behandling (se artikel 4.2 GDPR där begreppet behandling förklaras)? Man skulle kunna argumentera för att hantering enligt artikel 12 GDPR kräver behandling (aktivitet som ryms inom artikel 4 GDPR) av personuppgifter (jämför Förvaltningsrättens i Stockholm dom den 17 oktober 2019 i mål 24493–18) men frågan är inte glasklar (vore därför intressant med ett överklagande i något av de nu aktuella fallen). Helt klart är att Integritetsskyddsmyndigheten hade kunnat utfärda sanktionsavgifter (se artikel 58.2 i GDPR) vilket hade varit mer negativt för bolagen i de aktuella fallen.

För de berörda bolagen innebär även reprimander komplikationer om nya klagomål skulle komma in. Reprimanden skulle då ses som en försvårande faktor i bedömning av korrigerande åtgärder, se artikel 83.1 f GDPR. Skulle det framkomma att bolagen har liknande problem även efter att de åtgärder de redovisat i besluten genomförts skulle detta sannolikt vara mycket besvärligare att hantera. Har man en reprimand i bagaget blir varje ytterligare tillsynsärende därför mer riskfyllt om man vill undvika sanktionsavgifter.

VAD BEHÖVER PERSONUPPGIFTSANSVARIGA GÖRA?

Fallen visar att Integritetsskyddsmyndighetens nya arbetssätt börjar få genomslag, särskilt gällande klagomål som ursprungligen kommit från andra EU-länder. Det är rimligt att anta att myndigheten kommer fortsätta arbetet och att fler liknande beslut kommer att komma. Med tidigare arbetssätt var risken kanske inte så stor för många personuppgiftsansvariga att få ögonen på sig, men det nya arbetssättet gör det mer oförutsägbart.

Det går inte lappa och laga med GDPR eller rivstarta när man får ögonen på sig. I stället krävs ett systematiskt och långvarigt arbete där medarbetare involveras och utbildas. Med ett större fokus på registrerades rättigheter är det viktigt att ta fram tydliga rutiner för det arbetet och förbereda bra arbetssätt. Man kan även behöva gå igenom sina IT-system och se att de ger korrekt utfall. Vid upphandlingar är det även viktigt att ställa krav att system klarar korrekt hantering.

Ju bättre koll på sin GDPR-infrastruktur man har (behandlingsregister, integritetspolicy, rutiner etcetera), desto enklare blir det att hantera begäranden. Motsatsvis riskerar personuppgiftsansvariga som inte tar tag i arbetet att få lägga mycket tid på att släcka bränder.

Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker (bland annat två om registrerades rättigheter, som kom ut i år).
Ursprungligen publicerad i JP ITnet

Publicerad 22 apr 2021

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

EU-domstolen har i ett förhandsavgörande redogjort för tolkningen av begreppet berättigat intresse enligt artikel 6.1 första stycket f i dataskyddsförordningen. Vår expert Ranja Bunni har analyserat avgörandet.  

3 dec 2024

Vår dataskyddsjurist Beata Rosvall svarar på frågan. 

2 dec 2024

Vår rådgivare och jurist Beata Rosvall berättar i detta JP play-avsnitt om vad som händer med NIS2 och CER-direktivet.

2 dec 2024