Vad är en integritetspolicy?

Alla företag har idag en länk i sidfoten på sina webbplatser där det står ”Integritetspolicy”, ”Personuppgifter” eller något liknande. Klickar du på den kan du läsa om hur de behandlar dina personuppgifter – och förhoppningsvis förstå det. En första ledtråd om att informationen sannolikt dock inte är i enlighet med GDPR är att den kallas för just ”Integritetspolicy” och börjar med floskler som ”Vi bryr oss om din integritet och följer alla lagar om dataskydd…” och fortsätter sedan med en massa ”juridiska” som inte säger dig någonting.

Enligt en undersökning som Klarna lät Yougov göra läser enbart 6% av befolkningen informationen om behandlingen av personuppgifter, så varför bry sig? Ja, man kan ju fråga just Klarna eftersom de fick betala 7,5 miljoner i sanktionsavgifter för att de inte informerade i enlighet med reglerna i GDPR. Men hur ska det se ut då? Ja, det är inte helt lätt, men vi gör ett försök att reda ut begreppen!

integritetspolicy

Det kan bli dyrt att chansa på att ingen märker att informationen om behandling av personuppgifter är bristfällig.

GDPR och kraven på information

Enligt artiklarna 12-14 i GDPR (Dataskyddsförordningen) har en organisation som behandlar personuppgifter långtgående skyldigheter att på ett relativt detaljerat sätt informera de personer vars personuppgifter behandlas (de registrerade) innan behandlingen startar vilket oftast är i samband med att uppgifterna samlas in. Det står också i GDPR att språket ska vara tydligt och enkelt. Man ska alltså inte behöva vara jurist för att förstå hur ens personuppgifter behandlas.

Utöver detta ska det tydligt framgå vilka rättigheter den registrerade har som till exempel att kunna invända mot vissa behandlingar, begära registerutdrag, klaga och liknande.

(Det står dock inget i GDPR om att man ska förklara vad GDPR är, vad en personuppgift är eller upplysa om att man följer lagar och förordningar om dataskydd…)

Policys är styrdokument

Det finns många olika definitioner av begreppet policy men inom företagsvärlden är det vanligt att man har policys, riktlinjer och instruktioner som ett viktigt internt regelverk för att styra verksamheten, där policy utgör den högsta – och ganska högtflygande – nivån av detta regelverk och som fastställs av styrelsen. En policy bryts sedan ner i en eller flera riktlinjer för att slutligen konkretiseras ännu mer för medarbetarna i avgränsade instruktioner.

Utformning av policys kan självklart variera beroende på det företag eller det sammanhang de är avsedda för, men oavsett är syftet med policys att skapa struktur och vägledning för beslut samt för att upprätthålla önskade normer och standarder inom en organisation.

Vad är en ”IoBaP”?

Nu kommer vi till det märkliga; det verkar ha blivit praxis i Sverige att kalla den enligt GDPR lagstadgade informationen till de registrerade för ”Integritetspolicy”, ”Sekretesspolicy” eller liknande, trots att en policy normalt sett är ett internt styrdokument på ganska hög nivå medan information till de registrerade är – eller bör i alla fall vara – publik, detaljerad information om specifika behandlingar av personuppgifter som den registrerade ska kunna förstå. De två känns ju inte riktigt som samma saker, eller hur?

Det är oklart hur detta gått till men gissningsvis beror det på okritisk import av redan befintliga begrepp från USA utan någon större granskning av vad deras Privacy policys innehöll, vilket sannolikt faktiskt var mer innehåll av policy-karaktär och inte främst på grund av amerikanska lagkrav utan mer för att visa att man tog kundernas integritet på allvar av varumärkesskäl. Det intressanta är att jänkarna numera verkar ha döpt sin GDPR-information till ”Privacy notice” som komplement till sin ”Privacy policy”, men detta språkbruk verkar inte ha slagit igenom i Sverige.

Anledningen till att man inte bör benämna informationen till de registrerade som ”policy” är helt enkelt att det inte är någon policy utan det är information, och den måste vara specifik, tydlig och begriplig enligt GDPR. Att kalla den ”policy” leder till felaktiga förväntningar inom företaget om vad som faktiskt måste stå i den.

Eftersom Moderamen vid ett flertal tillfällen drivit projekt för att strukturera och skriva denna information för större svenska bolag och inte vill kalla den för Integritets- eller sekretesspolicy har vi använt den mycket nördiga, men mer korrekta, förkortningen ”IoBaP” som står för ”Information om Behandling av Personuppgifter”. (För det blev lite jobbigt att använda hela benämningen 38 gånger om dagen när man refererade till projektets slutprodukt 🙂 ).

Jag har även sett att bolag har börjat använda begreppet ”Integritetsinformation” vilket är betydligt bättre än alla former av ”policys” även om det fortsatt är lite för brett och ett ganska långt ord…

Hur gör man en bra IoBaP?

Det absolut svåraste med att skriva en IoBaP är att man måste veta hur man faktiskt behandlar personuppgifter för alla olika ändamål. Vet man inte det är det helt omöjligt att skriva en korrekt IoBaP. Punkt.

Så för att lyckas behöver man samarbeta med alla olika grenar av verksamheten samt IT och juridik, annars går det inte. Det är jobbigt och omfattande arbete, men förutom att det i slutänden leder till väsentligt bättre regelefterlevnad och i princip eliminering av risker för sanktioner så får man också högre intern effektivitet samt bättre kund- och medarbetarupplevelse på köpet eftersom det blir tydligt både internt i företaget och gentemot kunderna att man vet vad man håller på med.

samarbete mellan verksamhet, Juridik och IT

Att det är ett omfattande arbete är sannolikt anledningen till varför väldigt många stora företags IoBaP:er är ganska flummiga. Man har helt enkelt inte mäktat med arbetet att strukturera upp de huvudsakliga ändamålen med all personuppgiftsbehandling, bryta ner dessa i tydliga ”behandlingar” och sedan beskriva dem, utan IoBaP:en är istället en uppradning av alla punkter som GDPR säger att man måste informera om men utan sammanhang.

Korrekt struktur för en IoBaP

Nedan är Moderamens bästa tips på en bra struktur för en IoBaP. Strukturen är dock den enkla delen – att fylla den med korrekt innehåll är den svåra, men att något är besvärligt är tyvärr inget bra försvar för varför man inte gjort arbetet när tillsynsmyndigheten knackar på dörren..

struktur för GDPR information

Känner ni att ni behöver hjälp? Hör av er så ser vi om vi kan hjälpa till.