Hoppa till innehåll

Dataskyddsförordningen GDPR för Larm & Säkerhet

Arbetsgivarfrågor, Visa alla

12 december 2017

Tillhandahåller ni ett inpasseringssystem till en fastighetsägare eller ett annat företag, exempelvis bokningssystem för tvättstugor eller låsbrickor? Då utgör ni troligen ett personuppgiftsbiträde i den nya dataskyddsförordningens GDPR:s mening.

Den personuppgiftsansvarige bestämmer syftet och ändamålet med en personuppgiftsbehandling, exempelvis lagring av en persons uppgifter i form av namn, personnummer eller fingeravtryck för att dessa personer ska ha tillgång till en viss lokal. Det är sedan personuppgiftsbiträdet som behandlar personuppgifter för den personuppgiftsansvarigs räkning. Det är alltid ditt företag och inte någon enskild person som är personuppgiftsbiträde.

Den som behandlar personuppgifter för någon annans räkning kommer, i likhet med vad som gäller idag, att vara personuppgiftsbiträde. GDPR medför att ni som personuppgiftsbiträde får nya skyldigheter och ett större ansvar för personuppgiftsbehandlingen.

Som personuppgiftsbiträde har ni vissa skyldigheter i GDPR som det är viktigt att ni är medveten om. Dock faller flera av de skyldigheter som i någon mån utökas i GDPR på den personuppgiftsansvarige, bland annat skyldigheten att informera de vars uppgifter registreras. Det är även den ansvarige som ansvarar för att det finns en laglig grund för behandling av de uppgifter som omfattas av ert uppdrag som biträde. Börjar ni behandla de uppgifter ni fått från den ansvarige för andra syften som ni själva bestämmer, blir ni istället personuppgiftsansvarig för dessa, med allt ansvar som det innebär. Se därför till att enbart behandla uppgifterna i enlighet med de instruktioner och för de syften som den personuppgiftsansvarige angett i ert personuppgiftsbiträdesavtal.

En anledning för er som personuppgiftsbiträden att sätta er in i de nya reglerna i GDPR är att ni efter att reglerna trätt i kraft kan bli ensamt ansvariga för eventuellt fel i er behandling av personuppgifter. De administrativa avgifterna som Datainspektionen kan besluta om vid sådana felaktigheter uppgår till 20 miljoner euro eller 4 % av den globala omsättningen i koncernen. Intresset av att följa reglerna i GDPR borde därför vara stort.

Personuppgiftsbiträdesavtal (PUB-avtal) för företag inom tele, larm och säkerhet

Det är viktigt att det finns ett skriftligt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Det är vad som står i avtalet som avgör hur personuppgiftsbiträdet får hantera personuppgifterna. Det är också vad som sägs i avtalet som kommer få betydelse om något går fel vid behandlingen och det blir aktuellt med sanktioner exempelvis en administrativ avgift. Ansvaret för att det finns ett PUB-avtal ligger på den personuppgiftsansvarige men det är även i biträdets intresse att ett sådant avtal finns.
Ett PUB-avtal ska innehålla ganska många olika uppgifter som i detalj beskrivs i artikel 28 i GDPR. I avtalet ska personuppgiftsbiträdet bland annat åta sig följande.

  • Bara behandla personuppgifter enligt dokumenterade instruktioner från den personuppgiftsansvarige.

  • Se till att personer som har behörighet att behandla personuppgifter hos biträdet har åtagit sig att iaktta tystnadsplikt eller omfattas av lagstadgad sådan.

  • Vidta alla tekniska och organisatoriska åtgärder som är nödvändiga för att säkerställa en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen.

  • Respektera kraven på förhandstillstånd och avtal vid anlitande av ett annat biträde, ett så kallat underbiträde

  • Vidta lämpliga tekniska och organisatoriska åtgärder så att den personuppgiftsansvarige kan svara på en enskilds begäran om att få utöva sina rättigheter, såsom rätten till information och registerutdrag, rättelse, radering med mera.

  • Bistå den personuppgiftsansvarige med att se till att skyldigheterna fullgörs ifråga om säkerhetsåtgärder, anmälan av personuppgiftsincidenter och information om sådana incidenter till de registrerade samt konsekvensbedömning och förhandssamråd.

  • Radera eller återlämna alla personuppgifter till den personuppgiftsansvarige, beroende på vad den personuppgiftsansvarige väljer, när uppdraget avslutas och även radera alla kopior.

  • Ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att man fullgör alla skyldigheter som man har som biträde samt att möjliggöra och bidra till inspektioner och andra granskningar som den personuppgiftsansvarige vill genomföra.

Skyldigheter för ett personuppgiftsbiträde inom tele, larm och säkerhet

Behandlingsregister

Som personuppgiftsbiträde omfattas ni även av vissa skyldigheten att föra ett register över alla kategorier av behandling som utförs för en personuppgiftsansvariges räkning.

Underbiträden

Om ni vill anlita ett annat personuppgiftsbiträde måste ni ha ett skriftligt förhandstillstånd från den personuppgiftsansvarige. Har ni fått ett generellt tillstånd att anlita underbiträden måste ni ändå informera den personuppgiftsansvarige om era planer på att anlita ett nytt biträde, så att den ansvarige kan göra invändningar mot detta.
När ni anlitar ett underbiträde måste ni teckna avtal som gör att biträdet omfattas av samma skyldigheter som ni har gentemot den personuppgiftsansvarige. Om det andra biträdet inte fullgör sina skyldigheter kommer ni enligt förordningen att vara fullt ut ansvarig gentemot den personuppgiftsansvarige.

Dataskyddsombud

I vissa fall kan ett personuppgiftsbiträden vara skyldig att utse ett dataskyddsombud, även om den personuppgiftsansvarige inte behöver det. Det är utformningen av respektive företags verksamhet som avgör om en sådan skyldighet finns eller inte.
Ni behöver ett dataskyddsombud om ni har som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervakar enskilda personer. Ni har även en sådan skyldighet om ni har som kärnverksamhet att behandla känsliga personuppgifter (exempelvis fingeravtryck). "Kärnverksamhet" är den nödvändiga centrala verksamhet som en organisation utför för att uppfylla sina mål. För ett säkerhetsföretag kan kärnverksamheten exempelvis vara att övervaka allmänna platser. ”Regelbunden och systematisk övervakning” är ständig eller återkommande övervakning som sker enligt ett system eller en plan, exempelvis övervakningskameror.
Vad som är "stor omfattning" kan vara svårt att bedöma, men beror till exempel på hur många som är registrerade, hur mycket uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.
Företag som tillhandahåller inpasseringssystem kan utifrån vad som nyss nämnts vara skyldiga att utse ett dataskyddsombud. För närmare rådgivning och diskussion kring detta kan man som företag vända sig till Datainspektionen.

Säkerhetsåtgärder

Ett personuppgiftsbiträde har ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån för biträdes personuppgiftsbehandling är tillräcklig. Det kan bland annat medföra att ni behöver fundera över frågor som pseudonymisering och kryptering av personuppgifter. Ett exempel på pseudoanonymisering är att fastighetsägaren har ett register över vilken låsbricka som tillhör vilken person, medan ni bara hanterar själva numret i er löpande registering utan att ha tillgång till förteckningen. Ni ska säkerställa att era system är tillräckligt säkra och motståndskraftiga samt hur ni fortlöpande testar och utvärderar systemen.
Vilka åtgärder som är nödvändiga beror på vilka särskilda risker som finns med er behandling. Ni behöver till exempel ha ett starkare skydd om ni behandlar känsliga personuppgifter, såsom fingeravtryck.

Personuppgiftsincidenter

Om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar, en så kallad personuppgiftsincident, måste ni direkt underrätta den personuppgiftsansvarige om detta. Det kan vara bra att bestämma var i er organisation en sådan rapporteringsskyldighet ska ligga eftersom ni, om en personuppgiftsincident inträffar, måste agera skyndsamt.

Bistå den personuppgiftsansvarige

Ni har även en mer allmän skyldighet att bistå den personuppgiftsansvarige när denne ska fullgöra sina skyldigheter enligt förordningen. Ni ska bland annat hjälpa till med att svara på begäranden om elektroniska registerutdrag, och att bistå den personuppgiftsansvarige för att se till att säkerheten för behandlingen är tillräcklig.

Installatörsföretagen har tillsammans med SEF förhandlat fram ett kollektivavtal för företag inom larm & säkerhet. Som ansluten till det kollektivavtalet och medlem i Installatörsföretagen får du tillgång till juridisk rådgivning både inom arbetsrätt, företagsjuridik och entreprenadjuridik

Arbetsmarknad

Vi svarar på frågor inom arbetsrätt och kollektivavtal. Välkommen att kontakta oss!.

Medlemsservice

Oavsett typ av fråga är du alltid välkommen att kontakta din företagsrådgivare.