Har du ordning och reda på de personuppgifter du hanterar i de system du ansvarar för? Det tyska fastighetsbolaget Deutsche Wohnen hade det inte och blev därmed en de första som fick en kännbar sanktionsavgift. Hela 14,5 miljoner euro. Vad hade de gjort? Jo, sparat data lite för länge.
Tänk dig att vägverket en natt har varit ute och skruvat ner alla hastighetsskyltar i vårt land. Nu står det inte längre 30, 50, 80 eller 100 på skyltarna. Nu står det ”håll lämplig hastighet”. Hur fort får du nu köra?
Det är lite så här som GDPR fungerar om vi får tro Conny Larsson. Conny är jurist och advokat, expert på IT-lagstiftning med 25 års erfarenhet av IT-rättsliga frågor. Han har varit sakkunnig och den som hjälpt Real Fastighetssystem med alla GDPR-frågor gällande avtalstexter och anpassning till den nya lagen.
Jag tror de flesta företagare minns den 25 maj 2018 eller rättare sagt tiden inför just detta datum då GDPR-lagstiftningen skulle börja gälla. Vi var många som våndades och försökte förstå. Många timmar och en hel del pengar offrades för att undvika de vansinnigt höga sanktionsavgifter som hotade att drabba oss om vi inte lyckades med de högt ställda kraven.
Men – vad hände sedan? Ja, inte så mycket. Fortfarande vet vi inte vad ”lämplig säkerhetsnivå” eller att inte ”spara längre än nödvändigt” betyder. Conny Larssons tips är ändå att du håller koll på och har en överblick över vad det är du behandlar. Ett register eller förteckning samt att du vet var all data finns. Du ska enkelt kunna leverera ett registerutdrag på en sådan begäran.
Dokumentera och ge argument för de behov du har att exempelvis spara viss data. Ha en klar anledning. Enligt Conny Larsson så ska ”så få som möjligt, ha tillgång till så lite som möjligt om så få som möjligt, under så kort tid som möjligt”. Följer du den principen så bör du ligga bra till om Datainspektionen skulle knacka på dörren en dag.
Det finns stora anledningar att hålla sig till detta då det faktiskt finns de som råkat ut för stora sanktioner. Bland andra gäller det Deutsche Wohnen, ett tyskt fastighetsbolag som slarvat med att göra sig av med inaktuell data. De fick betala 14,5 miljoner euro. Så du som exempelvis behåller personuppgifter på utflyttade hyresgäster, se till att du har på fötterna och kan argumentera varför.
Hur kan du då vara säker på att du gjort tillräckligt för att anpassa dig. Ja, utöver Conny Larssons grundprincip här ovan så ska du bara hantera ”nödvändig” data. Undvik definitivt politisk eller religiös tillhörighet, sexualitet, biometri (fingeravtryck, ansiktsigenkänning e t c), etnicitet och data kring hälso- och sjukvård. Tänk också på att vanligen helt okänslig data, såsom namn, telefonnummer och adress, kan vara särskilt skyddsvärt om personen i fråga lever under hot och därmed har skyddad identitet. Använd inte heller samtycke som laglig grund då det kan återkallas.
När det gäller biometri och ansiktsigenkänning så har en gymnasieskola i Skellefteå drabbats av en sanktionsavgift på 200 000 kr då man använt kameraövervakning med ansiktsigenkänning för att, på prov, bevaka elevernas närvaro. Biometriska uppgifter räknas som särskilt skyddsvärda som kräver uttryckliga undantag för att få hantera. I det fallet gällde heller inte samtycke från eleverna eftersom man bedömer att de befunnit sig i beroendeställning.
Tänk också på att du gör alla bedömningar på egen risk då vi till största del saknar praxis.
Lyssna gärna på vår podcast där advokat Conny Larsson utvecklar sin kunskap kring dessa frågor. Jag kan lova att det är värt den tiden. Du få många kloka tips och en lite mer förståelse vad som hänt sedan den 28 maj 2018 då GDPR blev lag inom hela EU. Du får även Conny Larssons funderingar kring om det ens är någon idé att anmäla personuppgiftskränkning till DI. Kan vara intressant som privatperson i de fall någon behandlar just dina personuppgifter på ett, vad du anser vara, ett klandervärt sätt.
Björn Reimers
vd, Real Fastighetssystem