Dataskydd och innovation

Vid innovationsarbete är det viktigt att du som offentlig aktör tidigt skapar dig en överblick av de legala aspekterna du behöver förhålla dig till. Ett samarbete mellan olika professioner och att bygga in dataskydd från början är nödvändigt för att underlätta innovationsarbetet.

Dataskyddsförordningens krav ska genomsyra innovationsarbetet

Dataskyddsförordningens krav ska genomsyra innovationsarbetet. Det innebär att juristens roll i arbetet med innovationen inleds redan vid planeringsarbetet i innovationsprocessen. Det är viktigt att så tidigt som möjligt ha en överblick av de legala aspekterna som du som offentlig aktör behöver förhålla dig till. Metodstödet kan användas för att tidigt i arbetet klargöra om dataskyddsförordningen ska tillämpas och identifiera regulatoriska förutsättningar för innovationen.

Dataskyddsförordningen är teknikneutral och ska tillämpas på all behandling av personuppgifter som helt eller delvis företas på automatisk väg [1]. I innovationssammanhang är det vanligt att fokus ligger på tjänsten eller produkten, snarare än på personuppgiftsbehandlingen. Det är dock behandlingen av personuppgifter i tjänsten eller produkten som ska vara förenlig med dataskyddsförordningen. För att kunna bedöma hur väl dataskyddsförordningen följs vid behandling av personuppgifter i en teknisk tjänst eller produkt krävs ofta att det finns en förståelse för både tekniken och juridiken.

Dataskyddsarbete ligger nära andra fält så som informationssäkerhet och cybersäkerhet. Genom att arbeta systematiskt med dataskydd gör du som offentlig aktör vinster även i det systematiska informationssäkerhetsarbetet och annat säkerhetsarbete. När integritetsskyddsfrämjande åtgärder beaktas och integreras i arbetet kan effektiviteten i en tjänst öka, eftersom rätt personer gör rätt saker i en verksamhet. Integritetsskyddsfrämjande åtgärder kan även bidra till att antalet personuppgifter i ett system begränsas och blir mer korrekt, genom att principerna om uppgiftsminimering [2] och lagringsminimering [3] följs.

När gäller dataskyddsförordningen?

För att dataskyddsförordningen ska gälla krävs att det förekommer behandling av personuppgifter. En personuppgift är varje uppgift som, direkt eller indirekt, kan knytas till en person som är i livet [4], till exempel

  • personnummer
  • namn
  • IP-adress
  • en ljudinspelning där en persons röst hörs
  • bilder där en person syns.

Det finns även uppgifter som i sig själva inte går att knyta till en fysisk levande person, men som tillsammans med andra uppgifter kan identifiera en person. Detta behöver du som offentlig aktör vara extra vaksam på och göra noggranna bedömningar kring. Det kan till exempel vara sådant som

  • diarienummer
  • uppgifter i ett tidredovisningssystem
  • uppgifter i loggar
  • bostadsadress
  • registreringsnummer på en bil
  • krypterade eller pseudonymiserade personuppgifter.

Med behandling av personuppgifter menas varje åtgärd som görs med personuppgifter [5]. Det krävs också att behandlingen är helt eller delvis automatisk [6]. Exempel på behandling är insamling, systematisering, lagring och radering.

Bedömningen om en personuppgiftsbehandling är förenlig med dataskyddsförordningen ska göras innan behandlingen påbörjas. Förordningens krav ska sedan integreras genom hela innovationsarbetet.

Samarbete som arbetssätt

För att lösa komplexa frågeställningar vid innovation är det nödvändigt att olika professioner arbetar tillsammans i ett tvärfunktionellt arbetssätt. När det kommer till frågor om dataskydd kan jurister, tekniker och ledningsfunktioner (beslutsfattare) både vinna tid och slippa göra kostsamma misstag genom ett nära samarbete präglat av transparens och dialog.

Syftet med det tvärfunktionella samarbetet är att tillsammans skapa ett mervärde – att åstadkomma något mer än en funktion eller profession ensam kan åstadkomma. Samarbete kan vara utmanande och det kräver att det finns styrning, struktur och samsyn för att det ska fungera. Ledningens engagemang och styrning är avgörande för resultatet. Det är genom styrning som arbetet får prioritet, resurser och mandat.

En organisatorisk struktur behövs för att man ska kunna arbeta systematiskt med att kartlägga juridiska problem, välja åtgärder, genomföra dem och följa upp dem. De olika kompetensernas samsyn gör att åtgärderna effektivt kan styras mot ett gemensamt mål, med en förståelse och acceptans för varandras bidrag i arbetet. Innovation inom offentlig förvaltning berör olika sakområden som kräver sakkunskap inom exempelvis juridik, it-arkitektur och teknik, informationssäkerhet och verksamhetsutveckling. Det är även viktigt att dataskyddsombudet involveras i ett tidigt skede [7].

Skapa en gemensam bild av vad som ska göras och dokumentera den

För att skapa en förståelse för personuppgiftsbehandlingen i en teknisk tjänst eller produkt behöver du och din organisation inom det tvärfunktionella samarbetet ha en gemensam bild av vad ni vill åstadkomma med personuppgiftsbehandlingen och den tekniska innovationen. Lägg tid på att skapa och beskriva en gemensam bild av den tekniska tjänsten/produkten. En sådan beskrivning behöver inte vara juridisk eller teknisk, utan kan fokusera på vilken funktionalitet som efterfrågas och vilka personuppgifter som omfattas. Beskriv sedan personuppgiftsbehandlingen i innovationen uppdelat i en ”behandlingskedja”. Det blir mer överskådligt när behandlingens delar presenteras åtskilda, till exempel lagring, bearbetning eller delning av personuppgifter och annan data. Det kan inledningsvis vara svårt att avgöra hur en personuppgiftsbehandling kommer att se ut, men var så specifik som möjligt. Kom ihåg att dokumentera vägval och arbetsgång. Ju tydligare du kan beskriva personuppgiftsbehandlingen desto färre ”omtag” behöver du göra senare i processen.

Personuppgiftsbehandlingen kan dokumenteras på olika sätt. Det är också viktigt att dokumentera personuppgiftsbehandlingen i det register över behandlingar som den personuppgiftsansvarige ska hålla [8]. Registret ska innehålla bland annat ändamålen med behandlingen, en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter och en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som vidtagits.

Stödfrågor för att beskriva en personuppgiftsbehandling i en tjänst eller produkt

  1. Förekommer personuppgifter i den tänkta lösningen?
  2. Är det fråga om att samla in personuppgifter på nytt, eller att behandla personuppgifter som ni redan behandlar eller är personuppgiftsansvarig för?
  3. Vad är det övergripande syftet med behandlingen och varför ska den införas?
  4. Vilken aktör ska utföra behandlingen? Är flera aktörer inblandade i behandlingen?
  5. Hur ska behandlingen utföras?
    • Vilka eller vilket system ska användas för behandlingen?
    • Hur behandlas personuppgifterna i systemet, i fråga om exempelvis hämtning, lagring och gallring?
    • Varifrån och hur samlas personuppgifterna in?
    • Till vem delas personuppgifterna?
    • Förekommer tredjelandsöverföring i någon del av behandlingen, i olika system eller till olika mottagare?
  6. I vilken omfattning sker personuppgiftsbehandlingen?
    1. Hur många personer kommer att beröras av behandlingen?
    2. Hur många personuppgifter om varje person kommer att behandlas?
  7. Behandlas känsliga personuppgifter, uppgifter om lagöverträdelser eller person- eller samordningsnummer?
  8. Behandlas andra uppgifter som innebär särskilda integritetsrisker, till exempel personuppgifter som rör enskildas privatliv, sekretessbelagda personuppgifter eller personuppgifter om barn?

Lägg tid på att sätta er in i varandras arbete och synsätt

I ett tvärfunktionellt samarbete krävs att det finns förståelse och acceptans för olika kompetenser och synsätt. Det behövs också ödmjukhet, förmåga att skapa dialog och kunna lyssna och vara lyhörd.

För dig som jurist handlar det om att försöka skapa en god förståelse av tekniska förutsättningar och hur tekniken fungerar. Det handlar också i viss utsträckning om att försöka anta teknikerns perspektiv, men också kunna ifrågasätta det på ett lyhört sätt.

Tips för jurister

Som jurist kan du behöva ställa dig frågor som

  • Hur fungerar tjänsten tekniskt?
  • Varför vill den tekniska kompetensen att tjänsten ska utformas som föreslagits?
  • Vad innebär den tekniska lösningen för personuppgiftsbehandlingen, vilka personuppgifter behandlas och på vilket sätt?
  • Finns det alternativa funktioner, som kanske samtidigt kan gynna integritetsskyddet?
  • Kan det man vill göra/uppnå göras helt utan personuppgifter?

För den som inte är jurist krävs också en förståelse och acceptans för att dataskyddsförordningens regler gäller och ställer krav men att reglerna också är ramverket som möjliggör behandling av personuppgifter. Alltså behöver den tekniska kompetensen, och beslutsfattarna, försöka anta juristens perspektiv. Den tekniska kompetensen och beslutsfattarna behöver sätta sig in i juridiken, men också kunna ifrågasätta den på ett lyhört sätt.

Tips för tekniker

Som tekniker kan du behöva ställa dig frågor som

  • Hur funkar dataskyddsregleringen, vilka grundläggande krav och utgångspunkter finns i den?
  • Vad betyder de krav som juristen berättar om?
  • Om vi istället skulle konstruera tjänsten på det här alternativa sättet, hur förhåller det sig då till dataskyddsförordningen?

Gör löpande avstämningar och dokumentera dem

Det tvärfunktionella arbetssättet kräver gemensamt arbete, eget arbete och löpande avstämningar för att bibehålla det gemensamma språket om arbetet. Om alltför lång tid går mellan avstämningarna finns en risk att arbetet stoppas upp.

Bygg in dataskydd från början

Enligt dataskyddsförordningen är inbyggt dataskydd och dataskydd som standard ett grundkrav vid varje personuppgiftsbehandling [9]. Inbyggt dataskydd och dataskydd som standard är kompletterande begrepp som ömsesidigt förstärker varandra.

Inbyggt dataskydd innebär att den personuppgiftsansvariga tar hänsyn till dataskyddsreglerna redan vid planeringen av innovationsarbetet, det vill säga redan tidigt innan en teknisk tjänst eller produkt ska utvecklas eller köpas. Det innebär att verksamheten inför lämpliga tekniska och organisatoriska åtgärder och integrerar nödvändiga skyddsåtgärder i personuppgiftsbehandlingen för att uppfylla kraven i dataskyddsförordningen. Åtgärderna ska utformas så att de grundläggande principerna för dataskydd kan genomföras på ett effektivt sätt i personuppgiftsbehandlingen. Syftet är att kunna tillgodose de registrerades rättigheter och se till att skyddet för personuppgifter byggs in i behandlingen. Det kan handla om allt från avancerade tekniska lösningar till att ha personal som har den utbildning som krävs.

Dataskydd som standard innebär att den personuppgiftsansvariga ska genomföra lämpliga tekniska och organisatoriska åtgärder för att se till att personuppgifter inte behandlas i onödan. Det gäller mängden insamlade personuppgifter, behandlingens omfattning, lagringstid och hur tillgängliga de är. Bland annat ska dessa åtgärder säkerställa att personuppgifter endast görs tillgängliga för ett begränsat antal fysiska personer. Verksamheter ska även ha standardinställningar så att bara den behandling som är absolut nödvändig utförs som standard [10].

Särskilt om upphandling

Reglerna om inbyggt dataskydd och dataskydd som standard ska också beaktas vid offentlig upphandling [11] . Att jurister, upphandlare, tekniker och ledningsfunktioner samarbetar vid kravställande och upphandling möjliggör att du och din organisation redan vid upphandlingen kan omsätta den samlade kunskapen till konkreta krav för en leverantör att leva upp till för att säkra en lagenlig personuppgiftsbehandling. Det är viktigt att vara en kunnig och medveten beställare. Välj en leverantör som kan bidra med en tjänst som är förenlig med principerna om inbyggt dataskydd och dataskydd som standard.

Tänk igenom bland annat följande punkter redan vid upphandling och reglera dem, om möjligt, i avtalet med leverantörer och personuppgiftsbiträden [12]

  • vilka parter är personuppgiftsansvariga och/eller vilka parter utgör ett personuppgiftsbiträde?
  • leverantörens ansvar att påtala för den personuppgiftsansvariga om den tekniska utvecklingen eller förändringar i tjänsten eller produkten påverkar effektiviteten och lagligheten i personuppgiftsbehandlingen.
  • vilka krav vill du ställa på att leverantörer och personuppgiftsbiträden visar hur till exempel maskinvara, programvara, tjänster eller system gör det möjligt för dig att uppfylla dataskyddsförordningen krav?

Integritetsskyddsmyndigheten (IMY) har tagit fram information om vad som gäller för avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde.

Personuppgiftsbeträdesavtal (imy.se) Länk till annan webbplats.

Källhänvisningar

[1] Artikel 2.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[2] Artikel 5.1 c i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[3] Artikel 5.1 e i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[4] Artikel 4.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[5] Artikel 4.2 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[6] Artikel 2.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[7] Artiklarna 38–39 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[8] Artikel 30 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[9] Artikel 25 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[10] Se även s. 12, p. 42 i EDPB:s Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard (edpb.europa.eu) Länk till annan webbplats.

[11] Skäl 78 i dataskyddsförordningen (imy.se) Länk till annan webbplats.

[12] För definitioner av begreppen personuppgiftsansvarig och personuppgiftsbiträde samt viktiga omständigheter att bedöma vid rollfördelningen se EDPB:s Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR (edpb.europa.eu) Länk till annan webbplats.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: