EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och kallas dataskyddsförordningen eller GDPR. Förordningen kommer att gälla direkt i alla EU:s medlemsländer och ersätter nationella regler, som till exempel Personuppgiftslagen i Sverige respektive Finland. GDPR kommer även ersätta personvernsreglerna i Norge.
Jämfört med tidigare lagstiftning så är både regler och sanktioner hårdare. All automatisk behandling av personuppgifter och alla register som innehåller personuppgifter berörs av GDPR. Till skillnad från tidigare så omfattar GDPR även personuppgifter i löpande text.
Samtliga av Miras kunder berörs av av dessa lagar och då de flesta av Miras kunder är myndigheter har de varit noga med att följa personuppgiftslagen. Sedan Mira startade 1998 har skyddet av personuppgifter reglerats i våra kundavtal och vi har policys och rutiner som säkerställer att både Mira som personuppgiftsbiträde och våra kunder som personuppgiftsansvariga följer lagar och regler.
I Miras styrelse satt tidigare Hans Iwan Bratt, som var ansvarig för framtagandet av IT-branschens standardavtal. För Miras räkning har Hans Iwan gjort olika juridiska utredningar, bla om vad som gäller angående integration av CRM-system med studieadministrativa system (LADOK, Oodi, FS)
Svenska Datainspektionen (DI) granskade 2013 samtliga svenska riksdagspartiers medlemsregister med avseende på Personuppgiftslagen. Mira drev då Folkpartiets medlemsregister, och var djupt involverade i DI:s granskning. Folkpartiet vad det parti kom ut bäst i DI:s granskning.
Med GDPR kommer personuppgiftsbiträden kommer att få nya skyldigheter och ett betydligt utökat eget ansvar för personuppgiftsbehandlingen. I ett flertal situationer kommer även personuppgiftsbiträden att omfattas av samma skyldigheter som gäller för personuppgiftsansvariga.
Mira har följt diskussionerna om GDPR sedan länge och driver ett projekt som syftar till att anpassa våra produkter, våra avtal och vår kompetens för att möta de nya krav som GDPR innebär. Vi kommer att följa rättsutvecklingen och bevaka hur GDPR förhåller sig till CRM för universitet och högskolor. Vi kommer inte vara generella experter på GDPR, men vi ska vara experter på hur GDPR bör tillämpas i praktiken inom området externa relationer inom högre utbildning och kommersiell utbildning.
Många hävdar att GDPR skiljer sig markant från tidigare lagstiftning. Men faktum är att mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. På samma sätt som tidigare får man behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning till exempel.
Organisationer som använder Mira är personuppgiftsansvariga (PUA), och Mira som leverantör är personuppgiftsbiträde (PUB). PUA är skyldiga att hantera personuppgifter enligt lagen, och även att kontrollera att PUB hantera personuppgifter enligt lagen. GDPR innebär utökade rättigheter för den registrerade och utökade skyldigheter för personuppgiftsansvariga och personuppgiftsbiträden.
Förutom att generellt sätta oss in i vad GDPR innebär och följa utvecklingen, så vidtar vi följande åtgärder som personuppgiftsbiträde:
- sammanställer dokumentation (“register”) av hur Mira behandlar personuppgifter för kunds räkning, dels i form av ett generellt dokument, dels i specifikt dokument för respektive kund.
- uppdaterar våra avtal med underkonsulter och säkerställer att terminologi, m.m. är anpassat till GDPR
- säkerställer att vi har dokumenterat tillstånd från samtliga kunder för de fall vi anlitar underleverantörer
- utreder om och i så fall vem som ska vara dataskyddsombud på Mira
- definiera och dokumenterar rutin för personuppgiftsincidenter.
Vi ser också över hur vi på bästa sätt kan stödja våra kunder att följa GDPR.
Produkter som underlättar att följa GDPR
Miras produkter utvecklas och anpassas för att kunna uppfylla lagens krav, som att dokumentera samtycke, enkelt hantera när en registrerad begär att få veta vilka uppgifter som behandlas och vilka behandlingar som dessa uppgifter ingår i.
Information lagras på ett sätt som uppfyller lagens krav på säkerhet (integritet och konfidentialitet), exv genom att informationen lagras på servrar inom EU (i Sverige), skyddas med kryptering, m.m.
Avtal anpassade för GDPR och rutiner för att underlätta för våra kunder som PUA att säkerställa att Mira som PUB hanterar personuppgifter på ett lagligt sätt.
Miras avtalsmallar är väl anpassade efter personuppgiftslagen och kommer endast behöva mindre ändringar för att anpassas till GDPR. Vi kommer komplettera med viss ytterligare administrativ dokumentation. Vi kommer kontakta de kunder som använder egna avtalsmallar och tillsammans med dem diskutera vilka ändringar och kompletteringar som behöver göras. För kunder som avropat Mira inom ramen för svenska Statskontorets ramavtal, för vi en dialog med Cybercom som är ramavtalspart om vilka ändringar och kompletteringar som behöver göras.
Vi följer myndigheternas arbete med att definiera tolkningsregler för hur GDPR ska förhålla sig till andra lagar som är relevanta för våra kunder, som t.ex. marknadsföringslagen, offentlighetsprincipen, lagen om offentlig upphandling, m.fl.
Dokumenterar best practice och förslag på rutiner för olika typer av situationer som regleras av GDPR.
GDPR är av naturliga skäl ofta allmänt och generellt formulerad. Vi hjälper våra kunder att applicera den på situationer som är relevanta i verksamheter som externa relationer för universitet och högskolor och för kommersiell utbildning.
Mira har kompetens att hjälpa våra kunder att uppfylla lagens krav, ta fram policydokument och de rutiner som lagen kräver. Vi samlar goda exempel på policys och rutiner, och hjälper våra kunder att ta fram rutiner och policies för hur man som användare av Mira kan säkerställa att man följer lagen. Vi har redan nu diskussioner om GDPR i våra leveransprojekt, och kan även efter den första leveransen hjälpa till att ta fram rutiner och mallar.
Några exempel på situationer där vi kan hjälpa till att definiera rutiner och policies för är
- Rutin för att hämta in och logga samtycke från registrerade
- Rutin för att registrera och följa önskemål om hur en person vill bli kontaktad (marknadsföringslagen)
- När en registrerad begär att få reda på vilka uppgifter som behandlas och vilka behandlingar som dessa uppgifter ingår i
- När en registrerad begär att en uppgift ska strykas eller ändras.
- När en registrerad begär att tas bort från alla system (“right to be forgotten”)
- Åtgärder vid personuppgiftsincidenter, misstanke om dataintrång
Om du vill veta mer, kontakta din kundansvarige eller live@mira.se.