Dataskyddsmisstag som startups gör - och hur man åtgärdar dem

När du bygger en startup är dataskydd sällan högst upp på prioriteringslistan. Fokus ligger på att bygga en produkt, hitta kunder och hålla verksamheten igång. Den juridiska sidan, särskilt dataskydd, kan kännas som något man återkommer till när det finns mer tid och resurser.

Problemet är att när de flesta startups väl börjar ta dataskydd på allvar, så har de redan samlat in och använt personuppgifter i månader, ibland år, utan att ha rätt grundläggande strukturer på plats. Att rätta till saker i efterhand är svårare och mer komplicerat än att göra rätt från början, och konsekvenserna av att göra fel kan inkludera tillsynsmyndigheters böter, skadat anseende och förlorat förtroende från de människor man försöker hjälpa.

Den här guiden går igenom de vanligaste dataskyddsmisstagen som startups gör och, viktigast av allt, vad du kan göra för att åtgärda dem.

Gäller UK GDPR verkligen dig?

Om ditt brittiska startup behandlar personuppgifter om någon – oavsett om det gäller kunder, användare, webbplatsbesökare, anställda eller någon annan – så gäller UK General Data Protection Regulation (UK GDPR) för dig. UK GDPR fungerar tillsammans med Data Protection Act 2018 och tillsynen utövas av Information Commissioner’s Office (ICO).

Att vara en startup innebär inte att du är undantagen. Skyldigheterna gäller oavsett företagets storlek, bransch eller hur många personer du anställer. ICO tar hänsyn till proportionalitet vid tillsyn och sanktioner, men proportionalitet förutsätter att du gör en genuin ansträngning för att följa reglerna. Det är inte en ersättning för efterlevnad.

Gäller brittisk dataskyddslag även om du är baserad utomlands?

En vanlig missuppfattning bland grundare som bygger produkter för brittiska användare är att reglerna bara gäller om företaget är fysiskt etablerat i Storbritannien. Det är ett förståeligt antagande, men UK GDPR fungerar inte så. Om din produkt eller tjänst når personer i Storbritannien är det högst sannolikt att lagen redan gäller dig, oavsett var ditt företag är registrerat eller var dina servrar finns.

De två testerna som avgör om reglerna gäller dig

Information Commissioner’s Office beskriver två sätt på vilka ett företag utanför Storbritannien kan omfattas av brittisk dataskyddslagstiftning. Det första är om du erbjuder varor eller tjänster till personer i Storbritannien. Detta inkluderar även kostnadsfria tjänster – du behöver inte ta betalt för att reglerna ska gälla. Det andra är om du övervakar beteendet hos personer i Storbritannien, vilket omfattar aktiviteter som profilering, beteendeanalys och riktad annonsering mot en brittisk målgrupp.

Om någon av dessa beskrivningar stämmer in på din verksamhet gäller UK GDPR för dig. Det spelar ingen roll att du saknar kontor, anställda eller juridisk närvaro i Storbritannien.

Vilka skyldigheter har du?

Att omfattas av brittisk dataskyddslag innebär samma grundläggande ansvar som för alla organisationer etablerade i Storbritannien. Du måste identifiera och dokumentera vilka personuppgifter du behandlar om personer i Storbritannien, fastställa en tydlig rättslig grund för varje typ av behandling, upprätthålla transparenta integritetspolicys, införa lämpliga säkerhetsåtgärder och respektera individers rättigheter gällande deras uppgifter, inklusive rätten till tillgång, rättelse och radering.

Storlek ger inget undantag. ICO tar hänsyn till proportionalitet vid tillsynsbeslut, men proportionalitet är inte samma sak som undantag. De grundläggande skyldigheterna gäller oavsett om du har fem användare i Storbritannien eller fem miljoner.

Ytterligare steg för företag utan brittisk etablering

Om din organisation är etablerad utanför Storbritannien men omfattas av reglerna finns det ytterligare två saker att tänka på som inte gäller på samma sätt för brittiska företag.

Den första är om du behöver utse en brittisk representant. Detta är ett formellt krav för många personuppgiftsansvariga och personuppgiftsbiträden utanför Storbritannien och innebär att du utser någon baserad i Storbritannien som kan fungera som kontaktpunkt för ICO och för individer som utövar sina rättigheter. Det finns begränsade undantag för organisationer vars behandling är tillfällig, låg risk och inte omfattar särskilda kategorier av personuppgifter, men om din produkt har regelbundna användare i Storbritannien är det osannolikt att du kvalificerar dig för undantag.

Det andra är hur dataöverföringar mellan ditt land och Storbritannien hanteras. Att överföra personuppgifter från Storbritannien till ett land utan adekvansbeslut kräver en rättslig mekanism, såsom UK International Data Transfer Agreement eller standardavtalsklausuler. Detta är inte frivilligt och det är klokt att kontrollera detta tidigt istället för att försöka lösa det i efterhand.

Hur vet du om UK GDPR faktiskt gäller ditt företag?

En bra utgångspunkt är att titta på om din produkt eller marknadsföring aktivt riktar sig till brittiska användare. Priser i brittiska pund, brittiska leveransalternativ, reklamkampanjer riktade till en brittisk publik, brittiska telefonnummer på webbplatsen eller innehåll som uttryckligen skrivits för brittiska läsare är alla starka indikatorer på att du erbjuder varor eller tjänster till personer i Storbritannien enligt reglernas mening.

Om du ser någon av dessa signaler är det klokt att utgå från att UK GDPR gäller och börja bygga rätt grund: kartlägga vilka personuppgifter du samlar in om brittiska användare, identifiera din rättsliga grund för behandlingen, ta fram en tydlig integritetspolicy, fastställa hur länge data sparas och varför, samt säkerställa att säkerhetsåtgärderna är proportionerliga till risken.

Om du är osäker på om kravet på representant gäller i ditt fall, eller behöver avgöra vilken överföringsmekanism som passar dina omständigheter, är rådgivning från en brittisk dataskyddsjurist det mest tillförlitliga sättet att få klarhet. Kostnaden för att göra rätt från början är betydligt lägre än att hantera ett klagomål eller en tillsynsutredning längre fram.

Att veta varför du juridiskt får använda människors data

Ett av de mest grundläggande kraven i UK GDPR är att du måste ha en rättslig grund för varje typ av behandling av personuppgifter som du utför. Du kan inte bara samla in data för att det verkar användbart eller för att din produkt behöver det. Du måste i förväg identifiera vilken av de sex tillgängliga rättsliga grunderna som gäller för det du gör.

De vanligaste grunderna är samtycke, berättigat intresse och fullgörande av avtal. Var och en har sina egna villkor. Samtycke måste vara frivilligt, specifikt, informerat och otvetydigt, vilket innebär att förifyllda kryssrutor inte räcker och att det inte är tillräckligt att kombinera samtycke med användarvillkor. Berättigat intresse kräver att du gör en intresseavvägning för att säkerställa att dina kommersiella intressen inte väger tyngre än individernas rättigheter. ICO har en detaljerad vägledning om rättsliga grunder som beskriver exakt vad varje grund kräver och när den är lämplig att använda. Om du inte tydligt kan identifiera den rättsliga grunden för en viss behandling är det en signal om att du antingen behöver fastställa en sådan eller sluta med behandlingen.

Att hoppa över integritetspolicyn eller använda en som inte passar

Du är juridiskt skyldig att informera människor om hur du använder deras personuppgifter, och denna information måste tillhandahållas på ett tydligt och lättillgängligt sätt. De flesta startups har antingen ingen integritetspolicy alls eller använder en generisk mall kopierad från en annan webbplats som inte alls motsvarar hur de faktiskt använder data.

Din integritetspolicy måste förklara vilka personuppgifter du samlar in, den rättsliga grunden för insamlingen, syftet med användningen, hur länge uppgifterna sparas, vilka de delas med, om data överförs utanför Storbritannien och vilka rättigheter individer har. Den måste vara skriven på klarspråk och vara genuint lätt att hitta – inte gömd i en sidfot eller bakom flera klick. ICO tillhandahåller en checklista och mall för integritetspolicyer som är en bra utgångspunkt.

Att samla in mer data än du faktiskt behöver

UK GDPR innehåller en princip om dataminimering, vilket innebär att du endast ska samla in personuppgifter som faktiskt är nödvändiga för det specifika syfte du identifierat. Att samla in data spekulativt “ifall det kan bli användbart” är inte förenligt med reglerna och skapar onödig risk. Ju mer data du lagrar, desto större blir konsekvenserna av ett dataintrång och desto större blir ditt efterlevnadsansvar.

En bra vana i produktdesignprocessen är att fråga dig själv för varje uppgift du begär från användare om produkten verkligen inte skulle fungera utan den. Om det ärligt talat går att svara nej finns det starka argument för att du inte borde samla in uppgiften.

Att sakna personuppgiftsbiträdesavtal

Om du använder tredjepartsverktyg eller tjänster som hanterar personuppgifter för din räkning – exempelvis ett CRM-system, molnlagring, e-postmarknadsföringsplattform eller analysverktyg – måste du sannolikt ha ett personuppgiftsbiträdesavtal (DPA) på plats med varje leverantör. Detta är ett lagkrav enligt artikel 28 i UK GDPR.

Ett DPA reglerar vad tredje parten får göra med uppgifterna, hur de måste skydda dem och vad som händer om något går fel. Många mjukvaruleverantörer erbjuder standardiserade DPA-avtal som kan undertecknas på begäran, men den kritiska punkten är att de faktiskt måste undertecknas. Att sakna ett avtal är ett brott mot reglerna, även om du har ett bredare kommersiellt avtal med leverantören.

Att lagra data för länge

Principen om lagringsminimering i UK GDPR kräver att personuppgifter endast sparas så länge som det är nödvändigt för det syfte de samlades in för. Att behålla data på obestämd tid “utifall att det kan bli användbart senare” är inte förenligt med reglerna.

Du bör ha en policy för datalagring som beskriver hur länge olika kategorier av data sparas och vad som händer med dem när lagringstiden löper ut. Detta behöver inte vara ett långt dokument, men det måste existera och följas i praktiken. När data når slutet av lagringsperioden ska den raderas säkert eller anonymiseras.

Att inte ha en plan för dataintrång

Om ditt startup drabbas av ett personuppgiftsintrång som sannolikt innebär risk för individer måste du anmäla detta till ICO inom 72 timmar från det att du blivit medveten om intrånget. Om intrånget sannolikt innebär hög risk för de drabbade måste du även informera dessa personer direkt.

Många startups saknar helt en plan för detta scenario, vilket innebär att om ett intrång inträffar försöker de lista ut vad de ska göra medan tidsfristen redan löper. Att ha även en enkel dokumenterad plan som täcker vem som ansvarar, vad som ska bedömas, hur snabbt eskalering ska ske och hur anmälningar görs minskar både den juridiska risken och det operativa kaoset avsevärt. ICO har vägledning om rapportering av dataintrång som tydligt beskriver processen.

Hur går du vidare härifrån?

Dataskydd behöver inte vara en ständig källa till oro. De flesta vanliga misstag som beskrivs i den här guiden går att rätta till, och det kräver varken månader av arbete eller en stor budget. ICO har en särskild vägledningssektion för små organisationer och startups som förklarar de viktigaste kraven på ett enkelt sätt och är väl värd att läsa noggrant.

Om du hanterar en specifik situation som känns komplex, eller vill säkerställa att grunden för ditt dataskydd är korrekt på plats, är det alltid värdefullt att ta råd från en specialist inom dataskyddsjuridik. Att göra rätt nu är betydligt billigare än att hantera problem efter ett klagomål eller en tillsynsutredning.

Hur kan Gerrish Legal hjälpa?

Gerrish Legal är en dynamisk digital affärsjuridisk byrå. Vi är stolta över att ge högkvalitativ och expertmässig juridisk rådgivning till våra uppskattade klienter. Vi specialiserar oss inom många områden av digital juridik, såsom GDPR, dataskydd, digital- och teknikrätt, kommersiell rätt och immaterialrätt.

Vi ger företag det stöd de behöver för att framgångsrikt och tryggt kunna driva sina verksamheter samtidigt som de följer juridiska regler utan bördan av att själva hålla jämna steg med ständigt föränderliga digitala krav.

Vi finns här för att hjälpa dig – kontakta oss idag för mer information.