Whispr Group är biträden enligt GDPR

Omvärldsbevakningsföretagen är biträden enligt GDPR. Detta innebär att man behöver upprätta separata biträdesavtal och att man som kund måste följa GDPR-bestämmelserna, vilket kan leda till att man behöver böta 4% av koncernens omsättning. Det finns med andra ord mycket att hålla koll på.

Whispr Group är “data controller

Våra produkter omfattas inte av GDPR. Detta innebär att Whispr Group tar på sig ansvaret. Kontakta gärna Lukas på lukas@whisprgroup.com för mer information.
Omvärldsbevakning och medieanalys, i både redaktionella och sociala medier, är oerhört viktigt för i princip alla större företag. GDPR ställer dock stora krav på hur omvärldsbevakningen sker, hanteras och sprids internt i organisationen.

Kraven i GDPR

GDPR ställer väldigt höga krav på hur personuppgifter insamlas, hanteras, lagras och sprids i organisationen. Eftersom omvärldsbevakning i allra största grad är personuppgifter gäller GDPR. Man behöver kunna visa tydligt och dokumenterat vad det är för uppgifter man har samlat in, varför man samlat in dem, vilken laglig grund man har, och hur de lagrats och använts i organisationen. Man behöver även följa de övriga lagkraven, till exempel att notifiera Datainspektionen inom 48 timmar vid ett intrång, och kunna svara på frågor och tillhandahålla exporter till de privatpersoner vars personuppgifter man behandlat (d.v.s. de personer som syns i omvärldsbevakningen).

Vad är en personuppgift?

En personuppgift är en uppgift som kan spåras till en specifik privatperson. Detta inkluderar, men är inte begränsat till, namn, användarnamn, telefonnummer, IP-nummer och liknande. Det spelar ingen roll om uppgifterna kommer från en extern leverantör eller om man samlat in dem själva – samma regler gäller. GDPR gör heller ingen skillnad på “kända” eller “okända” personer, så en kändis behandlas på samma sätt som en relativt okänd privatperson. Det spelar heller ingen roll, generellt, om det skrivits på publika sociala medier eller i mer stängda miljöer – det är fortfarande personuppgifter som omfattas av GDPR.

Lagliga grunder

Enligt GDPR finns det ett antal lagliga grunder för att hantera personuppgifter. De vanligaste, när det kommer till den här typen av frågor, är samtyckte från personen i fråga, enligt avtal eller en “intresseavvägning”. Det sistnämnda är ofta svårdefinierat och svårt att bevisa. Samtycken är lätta att falla tillbaka på, men de kan också tas tillbaka, vilket är opraktiskt för den som hanterar personuppgifterna.

Viten

Enligt GDPR kan man, i värsta fall, få ett vite om 4% av koncernens omsättning (eller 20 miljoner euro) vid lagbrott. Om man exempelvis behandlat personuppgifter man tillgodogjort sig genom omvärldsbevakning på ett felaktigt sätt kan man således få väldigt höga viten.

Biträde eller ansvarig?

I GDPR finns det olika roller att ha när kommer till personuppgifter. De två huvudsakliga är personuppgiftsansvarig (“data controller”) eller personuppgiftsbiträde (“data processor”). I normalfallet är leverantörer av t.ex. omvärldsbevakning, undersökningar eller enklare analyser att betrakta som ett personuppgiftsbiträde, d.v.s. någon som biträder den ansvariga (kunden) med att behandla personuppgifter enligt instruktioner från den ansvariga (kunden).

Omvärldsbevakare är biträden – vad innebär detta?

Som biträde biträder man den ansvariga med att behandla den ansvarigas personuppgifter. Ett biträde löper generellt väldigt låg risk för påföljder eftersom det är den ansvariga som är just ansvarig. Att omvärldsbevakarna definierat sig själva som biträden är således till nackdel för kunderna, eftersom det är kunderna som löper risken. Man behöver även upprätta ett separat biträdesavtal med omvärldsbevakaren. Man bör i regel prata med en advokat för att upprätta ett korrekt biträdesavtal, och det kan finnas stora risker när det kommer till exempelvis kostnad för notifiering i avtalen.

Hur kan man sprida och lagra informationen?

Personuppgifter ska, något förenklat, inte spridas till andra individer eller företag som inte behöver uppgifterna. Detta innebär att det inte är att rekommendera att sprida medieanalyser eller omvärldsbevakningsresultat till andra inom organisationen. Man ska heller inte spara uppgifterna för länge, och man måste vara beredd att exportera informationen i ett standardiserat format och radera den permanent, om en privatperson så önskar.

Måste man notifiera?

Generellt så måste man notifiera (eller inhämta samtycke från) alla individer vars personuppgifter man behandlar, enligt GDPR, så länge det är möjligt att göra så. Eftersom det förekommer väldigt många personuppgifter i omvärldsbevakning och medieanalys kan man få en stor administrativ börda och löpa stor risk att inte följa lagens bestämmelser.

Andra alternativ

Om man vill fortsätta använda sig av omvärldsbevakning och medieanalys i sin verksamhet men är oroad över de praktiska och legala implikationerna av GDPR finns det några alternativa vägar att gå. En är att kontakta omvärldsbevakningsföretaget och be dem att ta bort möjligheten att få med personuppgifter i bevakningen. En annan är att välja andra marknadsanalyser än just omvärldsbevakning. En tredje är att lägga ut tjänsten på en extern part som är personuppgiftsansvarig snarare än biträde. Då kan den externa parten behandla personuppgifterna som för egen räkning och sammanställa aggregerad data och rekommendationer med slutleveranser där personuppgifterna är anonymiserade.

Whispr Group och GDPR

Whispr Group har, på inrådan av advokatfirman Lindahl, valt att definiera sig som en personuppgiftsansvarig, på så sätt att vi själva kan samla in och hantera personuppgifter med större frihet än vad som i normalfallet regleras i ett biträdesavtal. Whispr Group tar således fullt ansvar för själva hanteringen av personuppgifter och är den som löper risken vid ett eventuellt regelbrott. Personuppgifterna används i framtagandet av slutprodukterna mot kunderna, men personuppgifterna anonymiseras. På detta sätt får kunden samma data som förut, med insikter och rekommendationer, men slutprodukterna omfattas inte av GDPR och kunderna löper ingen risk för negativa följder. Detta innebär också att det inte behövs separat biträdesavtal mellan kunderna och Whispr Group.
Kontakta oss gärna via hej@whisprgroup.com eller 0852297500 för ytterligare information.