– Det spelar ingen roll om en redovisningsbyrå låter ett annat företag sköta deras informationsrutiner och det företaget gör fel. Ansvaret för att GDPR följs i alla led vilar i alla fall på redovisningsbyrån. I sammanhanget kan det vara skönt att veta att det inte är så svårt att göra rätt, konstaterar juristen Carin Wenner som bland annat föreläst om GDPR vid vårens kursnyhet Srf Konsultvecka.

IMY hette tidigare Datainspektionen. Det är myndigheten som kontrollerar så att GDRP, och dess löpande justeringar, följs av svenska privatpersoner och företag. Här fokuseras på företagen.

– Jag hjälper just nu tre kunder med hantering av tillsyn, som det kallas när IMY granskar något som kan bryta mot GDRP. Med tanke på att lagen kom 2016 men implementerades först i maj 2018 tycker lagstiftaren att företagen nu har haft tillräckligt med tid på sig för att skapa rutiner för att göra rätt. Därför ökar nu takten på granskningen, utvecklar Carin Wenner.

Ett tillsynsärende hos IMY kan initieras på tre sätt: Man väljer att granska en viss bransch eller ny teknik, en misstänkt incident eller medierapportering kommer till IMY:s kännedom, en privatperson gör en anmälan. Böterna kan maximalt bli fyra procent av företagets omsättning eller maximalt cirka 200 miljoner kronor (omräknat från Euro).

Centrala begrepp

I exemplet i ingressen är det redovisningsbyrån som är personuppgiftsansvarig. Informationsföretaget är personuppgiftsbiträde. Men eftersom en byrå som arbetar med redovisning och löner hanterar mycket av andra företags information är byrån oftare personuppgiftsbiträde. Byråns kund är då personuppgiftsansvarig. Det ska finnas avtal som reglerar och intygar hur båda parter arbetar för att följa GDPR.

– Här gäller det att byrån hjälper sin kund att förstå vad GDPR innebär och hur byrån kan hjälpa kunden att göra rätt. Det kan mycket väl vara en tjänst i sig. Samtidigt ska byrån hantera sin roll som biträde på rätt sätt. Av allt jag ser på marknaden och under mina utbildningar skulle jag säga att väldigt få gör detta korrekt, de allra flesta byråer saknar biträdesavtal.

Lätt att göra rätt

Grundprincipen i GDPR är att man bara får lagra det man behöver för att fullgöra sitt uppdrag. En redovisningsbyrå eller lönebyrå behöver exempelvis lagra kontouppgifter, uppgifter som säkerställer identiteter, protokoll och mötesanteckningar med idéer inför framtiden. Men knappast läkarintyg om någons tidigare sjukskrivning.

– Redovisningskonsulter och lönekonsulter är bra på rutiner. För att följa GDPR behöver man i grunden ”bara” veta vilka rutiner som omgärdar informationshantering. Och skriva en policy för hur de ska följas, kontrolleras och hur avvikelser ska hanteras. Man kan till exempel anpassa sitt affärssystem så att det inte finns plats för onödig information där. Men kan ju börja med att inventera vilka uppgifter man får in i dag och hur mycket av dessa man behöver för att kunna göra jobbet, säger Carin Wenner.

Konkreta tips

Carin Wenner har en rad konkreta tips för den som vill ta tag i sitt GDPR-arbete:

• Fundera över användningen av mejl, använd inte mejlboxen som lagringsyta. Mejla aldrig intyg från läkare eller psykolog, om de måste sparas ska de ligga på en säker server där ett fåtal personer kan se dem.
• Ha koll på intern personuppgiftshantering och vilka uppgifter som behövs – rensa bort resten.
• Ta reda på vilka som är de känsligaste uppgifter ni behandlar och prioritera dem.
• Ställ frågorna: Finns avtal med leverantörer? Skyddar vi uppgifter internt så att de inte försvinner, ändras eller förstörs? Ställer vi krav på våra leverantörer att skydda sina uppgifter på samma sätt? Vet alla på företaget hur personuppgifter ska hanteras?
• Skapa interna processer, rutiner och information att visa IMY vid eventuell tillsyn.