Bankfokus Nr 2, 2019

Ett år med dataskyddsförordningen

Dataskyddsförordningen har nu varit ikraft i drygt ett år. Som nämnts tidigare i detta nummer av Bankfokus är gränsdragningen mot penningtvättslagen en komplicerad fråga, men även incidentrapporteringen är något som har tagits upp av bankerna, berättar Agneta Brandimarti, jurist på Bankföreningen.

- I våra arbetsgrupper har diskussioner förts bland annat angående vilka händelser som ska generera en incidentrapport till Datainspektionen, säger Agneta Brandimarti.

Av Datainspektionens rapport 2019:1 framgår att det i Sverige kommit in 2 262 anmälningar om personuppgiftsincidenter, vilket är sjätte plats i Europa, under perioden 25 maj – 31 december 2018. Den övervägande delen stod finans- och försäkringssektorn för, 560 anmälningar vilket motsvarar 25 procent.

Datainspektionen framhåller att även om en sektor ligger i topp när det gäller att anmäla många personuppgiftsincidenter behöver inte det vara en indikation på bristande säkerhet. I vissa fall kan det tvärtom tyda på att företagen inom branschen har strukturer och rutiner som gör att personuppgiftsincidenter snabbt upptäcks och rapporteras. När det gäller banker har de lång erfarenhet av att hantera personuppgifter och har rutiner på plats för att upptäcka när något går fel.

Av Datainspektionens rapport framgår att flertalet anmälningar har gällt felskickad post och e-post. Det framgår dock inte om detta är vanligast inom just bank och försäkring.

Personuppgiftsansvar och personuppgiftsbiträde
Datainspektionen har fått ansvaret av de europeiska datatillsynsmyndigheten att leda arbetet att ta fram en ny vägledning rörande personuppgiftsansvar och personuppgiftsbiträde. Resultatet av arbetet ska presenteras under hösten 2019.

- Det är svåra frågor och värdefullt att klargörande vägledning tas fram från myndighetshåll. För banker som lyder under en rad andra regelverk är också denna fråga än mer komplicerad, säger Agneta Brandimarti.

En bank måste inom ramen för sin verksamhet efterleva en rad lagkrav och föreskrifter. Förutom regler som styr verksamheten finns också långtgående krav på exempelvis penningtvättsområdet och i fråga om banksekretess. Det ställs också krav på vilka interna regler, rutiner och processer en bank ska ha för att säkra en god intern styrning, riskhantering och kontroll. Dessa krav omfattar även bankens personuppgiftsbehandling.  

När ett företag kontaktar banken för en offert om banktjänster eller ingår ett kundavtal med banken, bestämmer banken i normala fall ändamålet med behandlingen av den information som ska samlas in, hur informationen ska användas samt hur den ska lagras. Banken är därför normalt sett ansvarig för behandling av informationen och kan då anses ha ansvaret för den personuppgiftsbehandling som sker inom ramen för bankens infrastruktur, IT-miljö eller inom den tillståndspliktiga verksamheten. Det gäller särskilt tjänster som ligger inom ramen för bankens kärnverksamhet, till exempel betaltjänster.

- Att banken skulle kunna ta på sig rollen som personuppgiftsbiträde i dessa situationer upplevs som svårt. Bankerna vill undvika att hamna i en sits där näringsrättsliga- och andra författningskrav kommer i konflikt med de krav som ställs på ett personuppgiftsbiträde i dataskyddsförordningen. Det är därför välkommet att Datainspektionen ska ta fram en ny vägledning rörande personuppgiftsansvar och personuppgiftsbiträde, säger Agneta Brandimarti.   

 

Bankfokus NR 2 • JUNI 2 0 1 9