Innan du går igenom checklistans tio punkter är det bra att inventera och dokumentera vilka personuppgifter din organisation behandlar. För att förenkla arbetet kan du dela upp era verksamheter i olika delar, till exempel HR/ ekonomi, kundservice, hyra, bygg, förvaltning och digitala tjänster. När du gjort ett register över inventeringen har du kommit en bra bit på väg och är redo att sätta igång!
Säkra att informationsskyldighet och andra rättigheter för individen uppfylls
Individers rättigheter i GDPR liknar i stora drag de rättigheter som finns i PUL. En individ har rätt att få information om behandlingen av sina personuppgifter. För hyresvärdar kan information tillhandahållas i exempelvis hyresavtalet med individen eller i en extern personuppgiftspolicy. När det kommer till anställda kan informationen tillhandahållas i exempelvis anställningsavtalet eller i en intern personuppgiftspolicy. I GDPR har individer möjlighet att begära ut registerutdrag, rättelse och radering.
Att göra:
- Se över befintliga informationstexter utifrån kraven i GDPR och uppdatera dem om det behövs. Säkerställ att det finns kunskap och rutiner för att kunna hantera individers begäran om registerutdrag, raderingar och liknande.
Granska i vilken mån din verksamhet förlitar sig på samtycke som laglig grund
Genom GDPR ställs det högre krav på hur samtycke erhålls. Samtycket ska vara en frivillig, specifik, informerad och otvetydig viljeyttring från individen. Det innebär att det kommer att ställas högre krav på att individen aktivt ger sitt samtycke, efter att ha fått information om den personuppgiftsbehandling som är aktuell, samt att samtycket inte göms bland övriga avtalsvillkor eller samlas med andra samtycken eller godkännande av villkor.
Att göra:
- Identifiera vilka behandlingar av personuppgifter som genomförs med stöd av ett befintligt samtycke, hur sådant samtycke inhämtats samt om samtycket är giltigt enligt GDPR (se över de blanketter och godkännande av villkor som används). Använd klickrutor eller underskrifter så att det blir tydligt att individen aktivt samtycker till den behandling av personuppgifter som informeras om, separerat från till exempel godkännande av hyresvillkor.
Var försiktig med att behandla känsliga personuppgifter och uppgifter om lagöverträdelser
Som huvudregel är det inte tillåtet att behandla särskilda kategorier av känsliga personuppgifter, men vissa undantag finns. Att behandla personuppgifter rörande lagöverträdelser, eller misstanke om sådan, är som huvudregel inte heller tillåtet. I Branschöverenskommelsen ges viss vägledning kring hur uppgifter om hot och dylikt bör hanteras i hyresrelationer.
Att göra:
- Säkerställ att ditt företags behandling av känsliga personuppgifter begränsas och att uppgifterna hanteras på ett säkert sätt. Begränsa åtkomsten till uppgifterna till de personer som behöver tillgång till dem. Hantering av uppgifter om lagöverträdelser bör i möjligaste mån undvikas.
Bedöm om informationssäkerheten i din organisation är tillräcklig
Kraven på informationssäkerhet vid behandling av personuppgifter höjs och blir mer detaljerade. Bland annat finns allmänna säkerhetskrav, krav på inbyggt integritetsskydd, att det i vissa fall görs konsekvensanalyser och att incidenter som
inträffar med personuppgifter i vissa fall ska rapporteras till tillsynsmyndigheten och till individen vars uppgifter incidenten berör.
Att göra:
- Se över i vilken omfattning integritetskänsliga personuppgifter behandlas, exempelvis hyresgästers speciella behov. Exempel på åtgärder som kan vidtas för att förbättra informationssäkerheten är kryptering, behörighetsbegränsningar, utbildning för anställda och vid inköp av IT-utrustning och tjänster.
Kontrollera om personuppgifter överförs till tredje land
Det är som huvudregel förbjudet att överföra personuppgifter till ett ”tredje land” (ett land utanför EU/EES). Det finns dock undantag, exempelvis om ett tredje land anses uppfylla en adekvat skyddsnivå.
Att göra:
- Granska flödet av personuppgifter inom ditt företag för att se om det sker överföring till ett tredje land. Det förekommer att leverantörer av IT-tjänster använder sig av dotterbolag, underleverantörer eller servrar som är belägna i ett tredje land. Om personuppgifter överförs till tredje land bör du säkerställa att överföringen är laglig.
Inventera relationerna med personuppgiftsbiträden
Ett personuppgiftsbiträde, till exempel en leverantör av IT-tjänster, får bara behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner. Ett personuppgiftsbiträde kan bli ansvarig för felaktiga behandlingar av uppgifter, bristande informationssäkerhet och för att inte föra register när så krävs.
Att göra:
- Inventera befintliga biträdesrelationer, både när ni är personuppgiftsansvariga och anlitar ett personuppgiftsbiträde, och när din organisation är personuppgiftsbiträde. Kontrollera att personuppgiftsbiträdesavtal finns och att det uppfyller de utökade kraven i GDPR. Se till att detta avtal upprättas om det saknas.
Undersök om det bör föras register och/eller utses dataskyddsombud
GDPR ställer krav på att man ska föra register över personuppgiftsbehandlingar. Organisationer som sysselsätter färre än 250 personer är som huvudregel undantagna från detta krav, men om företaget behandlar känsliga personuppgifter kan kravet ändå gälla. I vissa fall ska man också utse ett dataskyddsombud som ska informera, ge råd och övervaka efterlevnaden av GDPR i organisationen.
Att göra:
- Kontrollera om ni omfattas av kravet på att föra förteckning. Många bostadshyresvärdar behandlar uppgifter om exempelvis bostadsanpassning. Det är en känslig personuppgift och omfattas därmed av kravet.
Säkra att de grundläggande kraven för behandling av personuppgifter följs
GDPR anger ett antal krav som all personuppgiftsbehandling måste uppfylla. Bland annat ska behandlingen vara laglig, korrekt och öppen mot individen, och personuppgifter får endast behandlas för på förhand bestämda och berättigade ändamål. Uppgifterna får inte heller lagras längre än vad som krävs för att uppfylla ändamålen och behandlingen av person uppgifter måste ske med lämplig säkerhet.
Att göra:
- Se till att alla följer de grundläggande kraven vid behandlingar av personuppgifter. Kontrollfrågor kan vara: lagrar eller behandlar vi endast de personuppgifter som behövs för ändamålen? Kontrollerar vi att personuppgifterna är korrekta och uppdaterade (hur ofta uppdaterar vi till exempel våra register över hyresgästers uppgifter)? Raderar vi uppgifterna när de inte längre behövs?
Ha en rutin för dokumentation av personuppgiftshantering
Den personuppgiftsansvarige måste kunna visa att de grundläggande kraven efterlevs. GDPR kallar detta ”beviskrav för principen om ansvarsskyldighet”. Förutom den generella principen om ansvarsskyldighet ska den som behandlar personuppgifter kunna visa att reglerna följs.
Att göra:
- Säkerställ att det finns rutiner för hur och var din organisations arbete med regelefterlevnad dokumenteras – och se till att både rutiner och policys är lättillgängliga, exempelvis att man hittar dem på intranätet.
Verifiera att det finns laglig grund för era behandlingar
För att en personuppgiftsbehandling ska vara tillåten krävs att den sker med stöd av laglig grund. Exempel på laglig grund är samtycke från individen, att behandlingen är nödvändig för att fullgöra ett avtal (exempelvis ett hyresavtal eller ett anställningsavtal) eller att den är nödvändig för att fullgöra en rättslig förpliktelse.
Att göra:
- Se till att det finns laglig grund för alla behandlingar av personuppgifter som sker i företaget.
Läs mer om GDPR
- ”Förberedelser inför GDPR”, faktablad om personuppgiftshantering och Branschöverenskommelsen.
- På datainspektionen.se finns mer information och länkar till EU Kommissionens standardklausuler.
Text: Lisa Stoopendahl