Varför dina avtal kan utgöra en GDPR-risk

Personuppgifter i avtal omfattas av de allmänna reglerna i GDPR. Trots att samtycke för avtalsteckning inte behöver inhämtas i vanliga fall, så finns en mängd frågor att tänka på för hur personuppgifter i avtal skall hanteras.

Avtal kan utgöra en GDPR-risk

De flesta företag känner till att reglerna i GDPR omfattar alla typer av personlig information som sparas. Detta gäller också personuppgifter i avtal, dvs avtal som sparats av exempelvis bokföringsskäl eller för att kunna hitta avtalsinformation om kunder eller leverantörer.

Avtal finns ofta sparade digitalt, men GDPR tar inte hänsyn till hur avtalen är sparade utan gäller oavsett. Det blir då viktigt för företag att känna till dels hur avtal finns sparade, dels vilka personuppgifter som finns i avtalsdokumenten.

Några exempel på hur avtal sparas är inskannade avtal som sparats som ”bildfiler”, med eller utan tillhörande avtalsdata i textformat som gör avtalsinnehåll sökbart. Problemområdet vi kommer beröra i denna artikel berör dig som har skannat in dina avtal som bildfiler men som inte har stenkoll på exakt vilka personuppgifter som finns i varje avtal/bildfil.

Avtal och GDPR. Vad gäller?

Dataskyddsförordningen GDPR (The General Data Protection Regulation) är enligt Integritetsskyddsmyndigheten till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

Enligt reglerna i GDPR har avtal en viss särställning eftersom det naturligtvis alltid finns ett avtal för att kunna leverera en tjänst, vara eller för att upprätthålla en överenskommelse. De allmänna bestämmelserna i GDPR gäller på samma sätt för personuppgifter i avtal som för personuppgifter som sparats i andra syften.

Några aspekter på personuppgifter och avtal:

• Exempel på så kallade vanliga personuppgifter är ett personnamn eller ett personnummer, och ibland även ett fotografi, en e-postadress, en IP-adress, en postadress, en webbkaka eller en karaktärsbeskrivning som kan identifiera en individ.

• Särskilda kategorier av personuppgifter som inte får registreras, utom vid särskilda undantag, är individens etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa (exempelvis allergier), sexualliv eller sexuell läggning samt sådana genetiska och biometriska uppgifter som syftar till att identifiera individen. Exempel på sådant undantag är att den registrerade har lämnat samtycke till behandling av uppgiften.

• Samtycke för att spara personuppgifter behövs inte vid avtalsteckning eftersom en laglig grund för undantag från samtycke är att ”Upprätthålla ett avtalsförhållande”. Undantaget gäller alla avtalsparter så om ett avtal till exempel tecknats mellan en privatperson och två företag behöver inte de två företagen samtycke från privatpersonen för att spara dennes personuppgifter som finns i avtalsdokumentet.

• Historiska avtal, dvs redan tecknade avtal som ej längre är aktiva. Eftersom det finns en ”Laglig skyldighet att spara avtal av bokföringsskäl” krävs inte heller ett medgivande för att spara dessa. På samma sätt som ovan gäller detta alla avtalsparter. Dock är det viktigt att radera avtalsdokument då dessa inte längre behöver sparas av bokföringsskäl. För att undvika misstag och manuellt arbete bör raderingen automatiseras.

• Vilka personuppgifter får då sparas i avtal? Nu börjar det bli lite knivigare eftersom undantaget från samtycke för personuppgifter i avtal endast gäller med begränsningen att endast nödvändiga uppgifter får sparas utan samtycke. Om känsliga personuppgifter finns med i avtalstexten bör man vara försiktig och ändå se till att inhämta samtycke. Vad säger till exempel en privatperson om att dennes telefonnummer finns sparat? Är kännedom om telefonnumret verkligen nödvändigt för att ”upprätthålla avtalsförhållandet”?

• Den registrerades rättigheter. En viktig princip i GDPR är öppenhet mot den registrerade, exempelvis kan den registrerade kontakta valfri avtalspart och begära att få ut samtliga registrerade personuppgifter. Det duger då inte för avtalsparten att hänvisa till att skicka exempelvis en bildfil med det inskannade avtalet till den registrerade, utan det svåra är att hitta alla avtalsdokument, där den registrerades personuppgifter förekommer, och utifrån det skicka rätt uppgifter till den registrerade. Personuppgifter kan ju exempelvis ligga i en bilaga till avtalet med alla kontaktpersoner listade. Vidare finns ofta olika personer angivna trots att avtalet tecknades med endast en person (firmatecknaren). Exempel är städavtal mot privatpersoner där personnummer för RUT-avdrag ofta anges separat.

Summa summarum. Företag behöver skaffa sig kunskap om alla personuppgifter som finns i avtal för att kunna uppfylla GDPR.

Vilka GDPR-specifika risker finns?

Den registrerades rättigheter enligt GDPR måste uppfyllas annars kan företaget få krav på korrigering från Integritetsskyddsmyndigheten. Nedan några generella exempel på risker.

• En förfrågan från den registrerade måste hanteras så att ett svar kan ges inom rimlig tid. Om företaget inte förberett sig på detta kommer förfrågan leda till interna och kanske externa möten för att reda ut hur denna kan lösas. Här blir säkert både ledning, projektledare och jurister inblandade vilket skapar kostnader och tidsåtgång.

• Att söka/hitta personuppgifter manuellt i avtal tar många timmar i sig, men den stora risken är att något missas vilket naturligtvis den registrerade kan ha kännedom om. Detta kan den registrerade välja att utnyttja om en initial förfrågan inte gav förväntat resultat. Hur gör ditt företag om denna situation inträffar?

• Ett klagomål från den registrerade till Integritetsskyddsmyndigheten leder förstås till tidsåtgång internt samt att jurister specialiserade på GDPR-frågor ofta måste anlitas. Ett klagomål hanteras av Integritetsskyddsmyndigheten och korrigerande åtgärder kan behöva vidtas.

• Integritetsskyddsmyndigheten kan besluta om korrigerande åtgärder på olika nivåer, varav sanktionsavgifter är den hårdaste nivån, baserat på ett klagomål och förutom bötesbeloppet finns alltid risk för hur en fällning skall hanteras informationsmässigt mot marknaden.

• Förutom sanktionsavgifter kan företag få varningar, reprimander och förelägganden från Integritetskyddsmyndigheten att se till att regelbrottet inte upprepas. Även i detta fall kommer en ordentlig nota för både intern och extern tidsåtgång. Dessutom måste ett sådant projekt prioriteras högre än många andra viktiga projekt som pågår.

• Ett företag som satsat stort på att implementera GDPR men missat att gå igenom sina avtal riskerar då ändå att hela GDPR-arbetet ifrågasätts helt. Detta kan leda till oönskade spinoff-effekter inom helt andra områden.

Mer information om avtal från Integritetsskyddsmyndigheten.Visa mig mer

Hur motverkas riskerna?

Som vi berört tidigare är det bästa sättet att motverka risker att förbereda sig. Förberedelser kan göras på många olika sätt som omfattar juridiska, tekniska och organisatoriska åtgärder. Några exempel nedan:

• Implementera ett system som möjliggör att samtliga avtalsdokument är sökbara med fritextsökningar. Mer detaljer om detta hittas under nästa rubrik.

• Inför klassificering av olika typer av personuppgifter i avtal. En möjlighet att spara tid är här är att använda ett system med automatisk klassificering av personuppgifter.

• Sätt upp en policy i din organisation för hur personuppgifter i avtal skall hanteras. Med en sådan policy blir det klarare för alla inblandade vilken information som skall sparas respektive raderas och detta minskar tidsåtgång och oklarheter när väl en förfrågan eller klagomål inkommer.

• Utse en avtalsansvarig som kan arbeta regelbundet och med kontinuitet med GDPR-frågor för avtal.

Kontakta oss om du vill ha mer information eller ha en inledande diskussion om vad som krävs för att förbereda sig.Visa mig mer

Systemkrav för GDPR-uppfyllelse

Utan att gå in i detalj i hur den registrerades rättigheter skall hanteras av den personuppgiftsansvarige är det uppenbart att det behövs ett antal stödfunktioner i systemet som används för hantering av avtalsdokument. När väl den registrerade gör en förfrågan har man en begränsad tid på sig att svara vilket gör att företag måste förbereda sig innan förfrågan kommer. En viktig funktion är möjligheten att göra fritextsökningar efter personuppgifter i samtliga avtalsdokument som hanteras samt ett strukturerat sätt att hålla reda på vilken typ av personuppgifter (exempel e-postadresser) som förekommer.

• Möjligheten att kunna göra fritextsökningar måste omfatta samtliga avtalsdokument och relaterade bilagor. Fritextsökningar i alla avtalsdokument är grunden för att snabbt hitta om specifika personuppgifter förekommer samt exakt i vilka avtalsdokument de förekommer i.

• En fritextsökning skall resultera i en träfflista över alla förekomster av personuppgifter i de avtalsdokument som finns sparade. Utifrån träfflistan kan man sedan avgöra vilka åtgärder som skall utföras för att uppfylla GDPR för varje enskilt dokument.

• Hur gör du då för att möjliggöra fritextsökning? Det som behövs är ett system som först kan genomföra någon typ av texttolkning av sparade avtalsdokument, dvs tolka innehållet i en sparad bildfil och ”göra om” det till textformat (kallas också OCR-tolkning). När väl texten finns måste den sparas tillsammans med avtalsdokumentet i en databas där all avtalstext som kommer från texttolkningen kan göras sökbar.

• Hur hittar du just personuppgifter? Avtal innehåller alltid en stor mängd text och eftersom personuppgifter kommer i många olika former (se ovan) är det nödvändigt att klassificera avtalstexten för att hitta olika typer av personuppgifter. Har man få avtal sparade kan man naturligtvis göra detta manuellt, men när många avtal sparats blir detta ohållbart och felbenäget. Ett bättre sätt är att använda nya AI-tjänster som använder sig av NER-teknik (Named Entity Recognition). Dessa kan ofta automatiskt klassificera de vanligaste personuppgiftstyperna.

• Eftersom nya avtal hela tiden tillkommer och gamla raderas bör man också ha en tydlig process kopplad till detta, dvs vilka regler och policys skall gälla för avtal i olika delar av sin livscykel. Med en tydlig process och ett avtalssystem som stödjer detta hålls informationen alltid uppdaterad.

Vill du läsa mer om smart texttolkning för avtal och NER-teknik (Named Entity Recognition).Visa mig mer

Avtalsbanken underlättar för företag att efterleva GDPR i och med att alla avtal och tillhörande dokument hanteras digitalt. I webbtjänsten finns funktioner som hjälper användaren att praktiskt lösa frågeställningar vad gäller GDPR och de registrerades rättigheter. Kontakta oss för mer information.Visa mig mer

Den registrerade har ett flertal rättigheter som också gäller avseende personuppgifter i avtal. Läs mer på Integritetsskyddsmyndigheten.Visa mig mer