GDPR: 5 steg varje organisation bör gå igenom med sina persondatabiträden

EUs nya dataskyddsförordning (GDPR) träder i kraft om bara sex månader, och förberedelserna borde redan vara igång.

En nyhet för många blir att alla aktörer som har rätt att samla personuppgifter, också måste ha en ”personuppgiftsansvarig” enligt den nya lagen. Den personuppgiftsansvarige måste till exempel rapportera brister eller läckor, annars hotar dryga böter för företaget eller organisationen som samlar personuppgifter.

kai_kuohuva_350.png
Kai Kuohuva, Senior General Counsel, Tieto

Men många organisationer kanske bara har fokuserat på hur man själv behandlar personuppgifter, och har ingen klar plan över hur man ska hantera ansvarsfördelningen mellan den personuppgiftsansvarige (den som äger registret med uppgifter) och persondatabiträdet (den som behandlar uppgifterna för den ansvariges räkning).

I värsta fall kan övergången till GDPR leda till missförstånd mellan den personuppgiftsansvarige och persondatabiträdet. Men i bästa fall kan det ge en möjlighet att fördjupa relationerna och samarbetet, så länge övergången genomförs på rätt sätt och i samförståelse. Det senare tillvägagångssättet är definitivt det jag skulle rekommendera.

Syftet med den här artikeln är att sammanfatta de viktigaste lärdomarna vi tagit till oss på Tieto under våra förberedelser för rollen som persondatabiträde, samt vår planering av egen upphandling som personuppgiftsansvarig.

Så vilka steg ska du gå igenom med ditt persondatabiträde för att förbereda er inför GPDR?

1. Kartlägg och förstå din egen hantering av personuppgifter

Först och främst måste du kartlägga och förstå typen, omfattningen, sammanhanget, riskerna och syftet med de personuppgifter som ditt företag hanterar.

Se till att dina åtgärder överensstämmer med kraven i GDPR, så som ansvar och integritet. Uppdatera de åtgärder som behövs. Se till att alltid vara beredd att kunna visa att hanteringen av personuppgifter utförs i enlighet med GDPR. Det är viktigt att komma ihåg att det inte är tillräckligt att bara "göra rätt sak," alla åtgärder som vidtas måste också kunna bevisas genom noggrann dokumentation.

Tänk på att du – personuppgiftsansvarig – vet bäst vilken typ av personuppgifter du har registrerat och hur du använder dem. Det är något du måste kunna kommunicera tydligt till ditt persondatabiträde, så att de kan förse dig med de mest lämpliga produkterna och tjänsterna.

2. Överväg noga vilka persondatabiträden du använder och varför

Som en del av kartläggningen måste du också identifiera vilka persondatabiträden du använder – och varför, hur, var och när.

Det kanske låter ganska enkelt, men det är förvånansvärt svårt att kartlägga alla instanser där underleverantörer behandlar dina personuppgifter, eftersom de kan vara utspridda över olika affärsprocesser. Skapa ett tydligt frågeformulär för kartläggningen och ha ett nära samarbete med dem som är inblandade i upphandlingarna, då de förmodligen känner dina underleverantörer bäst.

Som ett konkret resultat av kartläggningen borde du nu förstå de väsentliga frågorna: hur dina persondatabiträden passar syftet med hanteringen (varför), var de finns geografiskt och i kartläggningen av ditt dataflöde (var, hur) och i livscykeln för personuppgifter (när).

Efter detta steg kan du gå vidare till mer detaljerade krav.

3. Utvärdera dina persondatabiträden: kan de följa GDPR?

Även om den personuppgiftsansvarige anses ha ansvaret enligt GDPR, kan en IT-tjänsteleverantör faktiskt utföra en stor del hanteringen av personuppgifterna på uppdrag av den personuppgiftsansvariga organisationen. Det är därför oerhört viktigt att se till att persondatabiträdet kan följa alla krav i GDPR.

Som det står i GDPR: "... den personuppgiftsansvarige (ska) endast anlita persondatabiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning.”

I praktiken innebär det att ditt persondatabiträde måste kunna visa upp dokumenterat bevis för att det finns allmänna policyer, processer, och organisatoriska och tekniska åtgärder för att uppfylla kraven i GDPR.

Kom ihåg att persondatabiträden inte nödvändigtvis har allt detta material tillgängligt, eftersom GDPR inte har trätt i kraft ännu. De borde dock kunna ge dig preliminära beskrivningar och dokument, samt en tidslinje som tydligt visar när de kommer ha alla nödvändiga funktioner på plats.

Be dina persondatabiträden att beskriva sina centrala sekretess- och säkerhetsprocesser och att ge dig tillräcklig dokumentation. Även om du troligtvis bara behöver gå igenom det här en gång bör du se till att frågorna också ingår i din vanliga upphandlingsprocess. I framtiden kan GDPR-godkända certifieringar vara mycket användbara, men för närvarande måste vi nöja oss med skräddarsydda checklistor.

4. Kan persondatabiträdets produkt eller tjänst hjälpa dig att följa GDPR?

Principen om ”inbyggt dataskydd och dataskydd som standard” kräver att GDPR måste beaktas under både planeringsfasen och den faktiska behandlingen av personuppgifter. Detta kan vara en utmaning eftersom GDPR inte tillhandahåller en konkret lista över krav som du bör följa, bara exempel som minimering och pseudonymisering.

På Tieto hanterade vi detta problem genom att använda den fullständiga lagtexten som grunden för hur man definierar inbyggt dataskydd och dataskydd som standard.

Vi började med att identifiera de stycken i GDPR som påverkar IT-produkter och tjänster och översatte de sedan till konkreta krav, till exempel "Jag måste kunna få en kopia av / radera / överföra personuppgifterna".

På så vis skapade vi vår egen kravlista baserat på GDPR. Detta är ett användbart tips för mjukvaruingenjörer, eftersom lagtexten på så vis förenklas och blir till läsbara krav. Det fungerar också bra för oss advokater, eftersom det är lättare att bevisa att man möter kraven med hjälp av kriterier som är direkt baserade på GDPR.

Detta tillvägagångssätt fungerar också för att granska IT-produkterna och tjänsterna som behövs i förhållandet mellan den ansvarige och biträdet. Nyckeln är att skapa en tydlig kravlista baserat på GDPR.

Identifiera vilka krav som gäller för persondatabiträdet och fråga sedan hur de har mött dem, till exempel genom att fråga hur deras tjänst ger registrerade individer den tillgång de har rätt till, eller hur tjänsten möjliggör uppgiftsportabilitet.

Gör detta till en del av din upphandlingsprocess. Det kommer att ge dig en förståelse för ditt biträdes förmåga, samt bevis på din egen efterlevnad.

5. Gör detaljerade avtal med tillräckliga garantier

Det är viktigt att komma ihåg att GDPR kräver att den ansvarige och biträdet enas om vissa obligatoriska klausuler.

Här är det viktig att ha fokus på både effektivitet och efterlevnad. Ta den tid som behövs för att överväga hur ni ska komma överens och förhandla om personuppgiftsbehandling med dina tjänsteleverantörer.

På Tieto har vi valt ett ramavtal, där vi enas om de obligatoriska klausulerna en gång med vår kund i ett separat avtal om personuppgiftsbehandling, där bearbetning av specifika uppgifter tas upp i separata tillägg. På så vis behöver parterna inte diskutera samma villkor för varje separat avtal.

Tänk också på vad du bör förhandla om. Att enas om personuppgiftshantering ska inte ses som en ”gör och glöm”-process, utan som ett gemensamt mål där båda parter har sitt ansvar.

Undvik att fastna i en diskussion där parterna försöker överföra allt ansvar till varandra. En förståelse för vad de faktiska (och tillämpliga) kraven är i GDPR hjälper dig identifiera hur ansvarstagandet ska delas mellan parterna.

Så; summa, summarum: först måste du förstå vad som görs och vem som gör det. För det andra, förstå de krav som måste uppfyllas och se till att de uppfylls inom en kontrollerad process. För det tredje, se till att du har de obligatoriska avtalen och alla andra dokument på plats.

Till sist, kom ihåg att vi alla arbetar mot samma mål, så låt oss arbeta tillsammans för att komma dit med framgång!

Kai Kuohuva, Senior Legal Counsel, Tieto

Välkommen att delta i vårt kostnadsfria webinar den 25 januari:  Hur skyddar du medborgarnas data?  

Vad ska den offentliga sektorn göra för att säkerställa överensstämmelse med GDPR?

Anmäl dig redan nu till vårt webinar den 25 januari kl 9.00 - 9.45 och få handfasta och praktiska tips inför övergången och för framtiden! Webinaret är på engelska.

Läs mer och anmäl dig här.

Vår ambition med denna blogg är att dela med oss av våra insikter och reflektioner, ta upp utmaningar och diskutera framtidslösningar kring digitalisering inom offentlig sektor. Här kan du läsa tidigare blogginlägg för offentlig sektor.

Share

Kontakt

Kai Kuohuva
Senior Legal Counsel, Tieto
+358 (0)40 720 0929

Registrera dig för att ta del av kommande blogginlägg för offentlig sektor: