Kontroll av personuppgiftsbehandlingen hos en personuppgiftsansvarig

En vägledning för dig som är personuppgiftsombud

Den 25 maj 2018 ersättas personuppgiftslagen med dataskyddsförordningen (GDPR). Då ersätts personuppgiftsombudets roll med dataskyddsombudets. På en annan plats på Datainspektionens webbplats får du veta mer om vad den nya lagstiftningen innebär:
Läs mer om dataskyddsförordningen
Läs mer om dataskyddsombud

Syftet med denna vägledning är att vara ett stöd för dig som personuppgiftsombud när du planerar och genomför kontroller av den personuppgiftsansvariges behandlingar av personuppgifter. Vägledningen omfattar inte alla frågeställningar som kan uppkomma utan ska ses som ett hjälpmedel.

Vägledningen utgår från personuppgiftslagens bestämmelser. När personuppgifter behandlas med stöd av bestämmelser i en annan lag eller förordning behöver kontrollerna anpassas efter innehållet i dessa bestämmelser. Kontrollerna måste också anpassas till den aktuella verksamheten, till exempel om det är fråga om socialtjänst, hälso- och sjukvård eller andra verksamheter där personuppgifterna skyddas av sekretess eller tystnadsplikt.

Personuppgiftsombudet kontrollerar behandlingen

Som en utgångspunkt för kontrollerna kan du använda den information som finns i personuppgiftsombudets förteckning. Tänk på att förteckningen inte behöver, men kan, omfatta all behandling av personuppgifter hos den personuppgiftsansvarige och att du som personuppgiftsombud därför kan behöva söka efter information även på annat håll. Minimikravet enligt personuppgiftslagen är att förteckningen ska innehålla alla de behandlingar som annars skulle ha anmälts till Datainspektionen. Det finns ganska många undantag från anmälningsskyldigheten till exempel om de registrerade har samtyckt till behandlingen eller om behandlingen följer av annan lag eller förordning, ett medlemskap, en anställning eller ett kundförhållande.

Enligt dataskyddsdirektivet som ligger till grund för personuppgiftslagen ska personuppgiftsombudet "på ett oberoende sätt" kunna säkra den interna tillämpningen av bestämmelserna. Ett personuppgiftsombud ska ha en sådan självständig ställning som krävs för att genomföra kontroller av den personuppgiftsansvariges behandling av personuppgifter. Hur omfattande en kontroll ska vara och vad den ska innehålla beror på omständigheterna i det enskilda fallet, se det rättsliga stödet i faktarutan nedan. Denna vägledning utgår ifrån att det inte endast är rutinerna och riktlinjerna som ska kontrolleras utan att kontrollen även omfattar själva behandlingen av personuppgifter i ett it-system, register eller annan uppgiftssamling.

Tips på hur du kontrollerar en personuppgiftsbehandling i ett it-system, register eller annan uppgiftssamling

Kontrollen kan förslagsvis ske i stegen förberedelser, genomförande och slutförande enligt nedan.

Förberedelser

  • Bestäm vilka it-system, register eller annan uppgiftssamling som ska kontrolleras. Ta hjälp av tillgänglig dokumentation om personuppgiftsbehandlingen till exempel förteckningen över behandlingar.
  • Kartlägg verksamheten och organisationen i de delar som kan ha betydelse för kontrollen.
  • Bedöm vilka företrädare för den personuppgiftsansvarige som behöver kontaktas. Förklara varför kontrollen genomförs, det vill säga att den ingår i personuppgiftsombudets arbetsuppgifter enligt personuppgiftslagen.
  • Ta ställning till vilka rättsliga och tekniska frågor som är aktuella.
  • Ta reda på om den personuppgiftsansvarige har fått klagomål på behandlingen av personuppgifter och vad det handlar om.
  • Ta reda på om det finns skriftliga dokument, till exempel information till registrerade och instruktioner till anställda eller andra medarbetare, som behandlar personuppgifterna. Om det finns sådana dokument, se till att du får en kopia på dessa och läs igenom dokumenten inför kontrollen.
  • Överväg om det finns ett behov av att kontrollera it-systemet, registret eller uppgiftssamlingen genom en förevisning. Om så är fallet, kontakta de personer som behöver närvara vid förevisningen och bestäm datum och tid.

Genomförande

Kontrollen kan utföras genom att du som personuppgiftsombud själv gör en bedömning med hjälp av den information som du samlat in. Bedömningen kan kompletteras med frågor som ställs till den personuppgiftsansvariges företrädare, som kan berätta om rutinerna för behandlingen. Den muntliga och skriftliga informationen kan också kompletteras med en granskning av it-systemet, registret eller uppgiftssamlingen genom till exempel en förevisning där du får möjlighet att se skarp data och hur personuppgifter behandlas i praktiken.

Följande är exempel på frågor som kan ställas skriftligen eller muntligen vid kontrollen:

  • Vem är personuppgiftsansvarig? Stämmer detta med den bedömning du själv gör av vem som bestämmer över ändamålen och medlen med behandlingen av personuppgifterna?
  • Vilka kategorier eller typer av personuppgifter behandlas? Ett tips är att först fråga vilka uppgifter som behandlas eftersom det kan vara svårt för användarna att avgöra om en uppgift är en personuppgift eller inte.
  • Med stöd av vilken lag eller förordning behandlas personuppgifterna, dvs. personuppgiftslagen, annan lag eller förordning?
  • För vilket eller vilka ändamål behandlas personuppgifterna och vilket behov finns det av att behandla personuppgifterna?
  • Stämmer användningsområde eller behovet med den information om ändamålen med behandlingen av personuppgifter som finns i förteckningen eller i den information som den personuppgiftsansvarige har lämnat till de registrerade?
  • Med vilket rättsligt stöd behandlas personuppgifter, det vill säga inhämtar den personuppgiftsansvarige samtycke från registrerade eller sker behandlingen med stöd av annat än samtycke?
  • Behandlas känsliga personuppgifter? Om ja, med vilket rättsligt stöd?
  • Behandlas personuppgifter om lagöverträdelser? Om ja, med vilket rättsligt stöd?
  • Får de registrerade information om personuppgiftsbehandlingen? Om ja, finns det skriftlig information?
  • Finns det rutiner för att hantera en ansökan om information ("registerutdrag")?
  • Finns det rutiner för att hantera en begäran om rättelse av personuppgifter som kan ha behandlats i strid med personuppgiftslagen?
  • Har anställda och andra medarbetare fått instruktioner om behandling av personuppgifterna? Om ja, finns det skriftliga instruktioner som du som personuppgiftsombud kan ta del av?
  • Finns det fritextfält i de system som ska granskas? Om ja, finns det instruktioner för det som får antecknas i fritextfälten? Kontrollera gärna att det som har skrivits av användarna i fritextfälten överensstämmer med instruktionerna och personuppgiftslagen.
  • Hur länge sparas personuppgifterna? Finns det en automatisk rutin för gallring eller gallras uppgifterna manuellt?
  • Anlitar den personuppgiftsansvarige ett personuppgiftsbiträde? Om ja, har den personuppgiftsansvarige ingått ett skriftligt avtal med personuppgiftsbiträdet? Uppfyller detta avtal de krav som personuppgiftslagen ställer? Kontrollera gärna om personuppgiftsbiträdet endast behandlar personuppgifter enligt de instruktioner som den personuppgiftsansvarige lämnat till exempel att personuppgiftsbiträdet inte behandlar personuppgifterna för egna ändamål.

När det gäller tekniska och organisatoriska åtgärder (säkerhetsåtgärder) för att skydda personuppgifterna från obehörig åtkomst, ändring eller förstöring, kan det finnas behov av att kontrollera olika typer av säkerhetsåtgärder. Här är några exempel på områden som kan behöva kontrolleras:

  • Fysisk säkerhet och tillträdeskontroll.
  • Användning av molntjänster eller portabel it-utrustning eller andra metoder för åtkomst till personuppgifter.
  • Behörighetskontroll.
  • Åtkomst- och loggkontroll.
  • Inloggning och kommunikation över öppet nät.

Ytterligare vägledning finns i Datainspektionens allmänna råd, Säkerhet för personuppgifter och på sidan om säkerhet för personuppgifter:

Läs mer om säkerhet för personuppgifter
Allmänna råd – Säkerhet för personuppgifter

Slutförande

  • Sammanfatta resultatet från kontrollen och ställ eventuella kompletterande frågor.
  • Framför eventuella brister till den personuppgiftsansvarige.
  • Följ upp vilka åtgärder som den personuppgiftsansvarige vidtar. En hjälp för den personuppgiftsansvarige att komma till rätta med eventuella brister kan vara att upprätta en åtgärdsplan med tidsangivelser när bristerna ska vara åtgärdade.
  • Om den personuppgiftsansvarige varken upprättar en åtgärdsplan eller rättar till bristerna inom rimlig tid behöver du som personuppgiftsombud överväga om du ska göra en anmälan till Datainspektionen (se skyldigheten i 38 § andra stycket personuppgiftslagen).

Kontroll- och anmälningsskyldigheten enligt personuppgiftslagen (1998:204)
Ett personuppgiftsombud ska självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt påpeka eventuella brister för den personuppgiftsansvarige (38 § första stycket personuppgiftslagen).
Regeringen har uttalat följande om personuppgiftsombudens kontroll (proposition 1997/98:44 Personuppgiftslagen, s. 140)
[...] ombudet måste förvissa sig om att den personuppgiftsansvarige följer bestämmelserna i personuppgiftslagen och anknytande lagstiftning. Hur pass omfattande kontrollen ska vara får avgöras efter omständigheterna i det enskilda fallet. Ombudet bör i vart fall granska rutinerna för behandling av personuppgifter och de krav på kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på den personal som tillåts behandla sådana uppgifter.
Om den personuppgiftsansvarige efter påpekande inte vidtar rättelse ska personuppgiftsombudet anmäla förhållandet till Datainspektionen (38 § andra stycket personuppgiftslagen).

Mer information

Anmäla eller avanmäla ett personuppgiftsombud

Om du vill anmäla eller avanmäla ett personuppgiftsombud så använder du en särskild anmälningsblankett.

Kontakta Datainspektionen

Datainspektionen ger råd och hjälp till personuppgiftsombuden. Här får du veta mer hur du kan kontakta oss vid såväl enklare som mer komplicerade frågor.

Vill du prata med en jurist?

Du som är personuppgiftsombud har möjlighet att prata med någon av våra jurister som är specialiserade inom olika områden. Mellan klockan 9 och 11 svarar våra jurister på dina frågor. Ring oss på 08-657 61 00. Den 6/12 och 13/12 är denna tjänst istället öppen kl 13-15.