LOW comp 3-2024 004 - Flipbook - Page 27
PIA ROSENGREN - ADVISENSE
”Ny teknik ger många nya möjligheter
och så länge vi vet vad vi gör, kan vi
undvika kostsamma konsekvenser.”
Pia Rosengren
Pia Rosengren
• information om användningen av
eventuella bedömningsmodeller
och vilken data den behandlar,
samt
• samlad, enkel och lättillgänglig information, dvs inte något virrvarr
av korsreferenser och hänvisningar.
De överträdelser som kvarstod efter man
mildrat kraven på information i relation till
vad både IMY som förvaltningsdomstolen
krävt, bedömdes av kammarrätten som så
pass allvarliga att det maximala bötesbeloppet (enligt IMY:s yrkande), dömdes ut. En
fingervisning kring hur viktigt man anser att
transparens är.
2.
Användning av nya,
innovativa tekniska lösningar
För några år sedan upptäckte en
uppmärksam journalist att ett antal verksamheter hade en så kallad pixel aktiverad
på sina respektive hemsidor. Den här pixeln
innebar, mycket förenklat, att vid exempelvis ifyllande av formulär på hemsidan, så
samlades informationen in och skickades
till Facebook som konverterade informationen till annonsering på den registrerades
Facebooksida. Det här innebar bland annat
att man bröt mot ev. banksekretess, delade
personuppgifter till tredje land och i vissa
fall även att man behandlade och delade
känsliga personuppgifter. Ett antal tillsynsärenden har sedan dess avgjorts av IMY och
det har delats ut höga sanktioner. Det finns
också fortfarande ett antal ärenden kvar som
inte är avgjorda. Flera av bolagen som haft
den nämnda pixeln har inte fullt ut förstått
konsekvensen av den delade informationen.
Med det sagt kan vi konstatera att det med
all säkerhet finns ett stort mörkertal avseende bolag som har eller har haft denna typ av
marknadsaktiviteter aktiverade på sin hemsida. Några aspekter att lägga till i kunskapsbanken med anledning av detta skulle kunna
vara följande:
• Ha tydliga rutiner och processer
för marknadsavdelningen i syfte
att minska risken för brister i behandlingen av personuppgifter.
• Säkerställ att alla nya digitala lösningar är genomlysta och undersök om en konsekvensbedömning
behöver genomföras i syfte att
identifiera alla eventuella konsekvenser och minimera att bolaget
utsätter sig för onödig risk.
• Säkerställ att bolaget har kunskap
och resurser för att vidta tillräckliga tekniska och organisatoriska
säkerhetsåtgärder för att kunna
behandla personuppgifter på ett
säkert sätt.
• Säkerställ att bolaget ger korrekt
information avseende hanteringen
av personuppgifter.
Ny teknik ger många nya möjligheter och så
länge vi vet vad vi gör, kan vi undvika kostsamma konsekvenser.
3.
Hantering av de
registrerades rättigheter
När GDPR trädde i kraft 2018
var vi många som förväntade oss en tsunami av förfrågningar med anledning av de
rättigheter man har som registrerad. Några
utsatta bolag har fått sin beskärda del, men
den stora majoriteten organisationer har
bara fått några enstaka förfrågningar. En risk
med detta är att man inte haft anledning att
implementera en bra rutin för hanteringen.
Även på detta område har det kommit ett
antal avgöranden från IMY. Vissa har gjort
rätt och andra har fått bakläxa. Att ta med
sig kring detta är ett antal punkter, men en
generell iakttagelse är att en genomarbetad
och tydlig rutin kommer vara avgörande för
hanteringen.
Enligt artikel 12.2 i GDPR ska den personuppgiftsansvarige underlätta utövandet av
den registrerades rättigheter. I skäl 59 har
man utvecklat vad det innebär ”att underlätta” och bland annat konstaterat att det bör
fastställas förfaranden som gör det lättare för
registrerade att utöva sina rättigheter. Man
behöver alltså ha tydliga rutiner för hur man
ska gå tillväga vid en förfrågan och det bör
också finnas inbyggda mekanismer som bidrar till, eller förenklar, en begäran om att
få sina rättigheter tillgodosedda. I olika tillsynsärenden har man beskrivit vad ”underlätta för den registrerade” skulle kunna inne-
bära och det är bland annat följande.
• Att man har enkla och tydliga
kommunikationssätt som möter
den registrerade där denne kommunicerar.
• Att det inte finns tekniska hinder
för att utöva registrerades rättigheter.
• Att det alltid finns någon som tar
emot begäran om att utöva sina
rättigheter, tex vid ledigheter el.
dyl.
En rutin eller process för att hantera en förfrågan i enlighet med rättigheterna bör därför innehålla följande på en generell nivå.
• En på förhand beslutad hantering
av fastställande av identitet. Enligt
regelverket ska den personuppgiftsansvarige begära in mer information för att identifiera den som
frågar om det finns rimliga skäl att
betvivla identiteten hos den som
frågar, men personuppgiftsansvarig får däremot inte efterfråga mer
information än vad som är nödvändigt. En balansgång som kräver att man har en tydlig process
för den egna verksamheten.
• Tydlig information om tidsperioden för när organisationen måste
besvara förfrågan.
Utöver detta bör tydliga rutiner för varje
rättighet fastställas och medvetandegöras för
alla berörda medarbetare.
A
tt lära av misstag
Regelverket kring dataskyddsfrågor är omfattande och utvecklas
fortfarande med en tämligen hög hastighet.
Många frågor har inte varit i domstol ännu
och kan därför komma att tolkas annorlunda i framtiden. Att ha uppföljning kring tillsynsärenden och utifrån det göra relevanta
justeringar i sina egna processer, är ett bra
sätt att säkerställa att man har en verksamhet
som efterlever reglerna på ett tillfredsställande sätt.
Compliance Nytt
27
