GDPR:s påverkan på CRM-system : En kvalitativ intervjustudie / GDPR’s impact on CRM-systems : a qualitative interview study

Nilsson, Clara, Andersson, Jenny

January 2022

Den här studien syftar till att undersöka vilken påverkan som GDPR haft på verksamheters krav på säkerhet, integritet och funktionalitet vid behandling av personuppgifter i CRM-system. Den 25:e maj 2018 trädde en ny dataskyddsförordning i kraft och ersatte den tidigare Personuppgiftslagen. Dataskyddsförordningen heter GDPR, kort för General Data Protection Regulations, och innehåller lagar och regler gällande insamling, behandling och lagring av personuppgifter. Lagen inrättades av EU parlamentet och gäller för alla organisationer som är verksamma inom EU. GDPR är något som tidigare publicerad forskning menade skulle komma att få en stor inverkan på alla organisationer som behandlar personuppgifter. Tidigare studier presenterade även många negativa konsekvenser av GDPR, bland annat att lagen är mycket svårtolkad och kommer kräva mycket resurser till det omfattande förändringsarbete som behöver genomföras. För insamling av empiri har fyra semistrukturerade intervjuer genomförts med tre olika verksamheter. Respondenterna som deltagit har valts ut enligt ett ändamålsenligt urval som baseras på deras kunskaper gällande GDPR och CRM-system. Den insamlade empirin har sedan analyserats enligt grundad teoris metod. Grundad teori presenterar även ett handlingsparadigm som utgår från tre metakategorier, förutsättning, handling och konsekvens. Från analysen av empirin har vi dragit slutsatsen att GDPR har påverkat verksamheternas krav på CRM-systemets behandling av personuppgifter, då samtliga intervjuade verksamheterna har uttryckt att de behövt genomgå ett omfattande förändringsarbete. GDPR har ställt högre krav på att skydda privatpersoners integritet vilket har fått till följd att verksamheterna stärkt sina säkerhetsåtgärder. Det i sin tur har påverkat CRM-systemets funktionalitet i termer av att ny funktionalitet har implementerats eller begränsats. Studien har även resulterat i en modell som visualiserar skillnader och likheter mellan tidigare forskning och insamlad empiri. Där framkommer det att tidigare forskning presenterar mer negativa följder av GDPR medan empirin menar att även en del positiva faktorer har mynnat ut från arbetet med att anpassa deras CRM-system till GDPR. / The purpose of this study aims to examine the impact GDPR has had on organizations requirements on security, integrity, and functionality regarding processing personal data in CRM-systems. On the 25:th of May 2018 a new data protection law was established and replaced the previous personal data law (PUL). The new data protection law is called GDPR, which is short for General Data Protection Regulations, and provides regulations and legislation regarding collecting, processing, and storing personal data. GDPR was established by the European Commission and applies to all organizations operating within the EU. Previous research presents theories that GDPR will have a great impact on all organizations that process personal data. Early studies also present various negative consequences that will follow from GDPR, for example the fact that the law is very difficult to interpret and will require plenty of resources for the very extensive change work that needs to take place. To collect empirical data, four semi-structured interviews were conducted with three different organizations. The respondents who participated have been selected according to a purposive sampling based on their knowledge of GDPR and CRM-systems. The analysis of the empirical data has been conducted according to the Grounded Theory Method and its action-oriented paradigm that bases on three categories: conditions, actions and consequences. The conclusions drawn from the analysis is that GDPR has had an impact on the organizational requirements for their CRM-systems processing of personal data, as all the interviewed companies have expressed that they have had to undergo extensive change work. GDPR has placed higher demands on protecting the privacy and integrity of private individuals, which has resulted in companies strengthening their security measures. This in turn has affected the CRM system's functionality in terms of the fact that new functionality has been implemented and some has been limited. The study has also resulted in a model that visualizes differences and similarities between previous research and the empiric results. It appears that previous research presents more negative consequences of the GDPR, while the empirical evidence is that some positive factors have also resulted from the work of adapting their CRM system to the GDPR. This study is written in Swedish.

GDPR

Data protection

CRM-system

GDPR

Dataskydd

CRM-system

Information Systems

Kamerabevakning utan tillståndskrav på platser där allmänheten inte äger tillträde – ett hot mot den personliga integriteten? / Camera surveillance without permit requirement in places where the public does not own access – a threat against personal integrity?

Khatun, Rahima

January 2022

In Sweden, camera surveillance in places where the public own access is regulated by a permit. This entails a lack of permit requirement for camera surveillance in places where the public does not own access. Such places can consist of a privacy- sensitive character. Surveillance constitutes processing of personal data where- upon the General Data Protection Regulation (GDPR) must be complied with.Article 6 of the GDPR stipulates various legal bases that must be met in the processing of personal data. The ones who conduct surveillance in places where the public does not own access often fails to make correct legal assessments of Article 6(1)(e) and 6(1)(f) of the GDPR, as displayed by various supervisory de- cisions issued by the Swedish Authority for Privacy Protection. In this light, the purpose of the thesis is to examine and analyze how the ones who conduct sur- veillance and the Swedish Authority for Privacy Protection consider the personal integrity of the camera monitored individual in the assessments of Article 6(1)(e) and 6(1)(f) of the GDPR during camera surveillance without permit requirement in places where the public does not own access. Because of the differences be- tween the legal assessments made by the ones who conduct camera surveillance and the Swedish Authority for Privacy Protection, the thesis also intends to shed light on the consequences that arise for the camera monitored individual by the fact that their personal integrity is assessed in different ways.The thesis also aims to evaluate the Swedish Authority for Privacy Protec- tions’ supervisory work in relation to both personal integrity and the compliance with Article 6(1)(e) and 6(1)(f) of the GDPR during camera surveillance without permit requirement in places where the public does not own access. The Swedish Authority for Privacy Protections’ supervisory work is important as most of the camera surveillance takes place without a permit requirement and the fact that there is a lack of knowledge prevailing to the number of cameras in use. It is important that the Swedish Authority for Privacy Protections’ supervisory work is well-functioning since the ones who conduct surveillance carry out the legal assessments incorrectly. The risk with insufficient supervisory work is that per- sonal integrity is violated and that the GDPR is ineffectual in the long run.In general, it can be said that the legal assessments of Article 6(1)(e) and 6(1)(f) of the GDPR are poorly carried out by both the ones who conduct surveillance and the Swedish Authority for Privacy Protection. This primarily affects the cam- era monitored individuals’ personal integrity. Because of the indications of short- comings in the supervisory work, there are several improvement measures that can be taken to maintain personal integrity and ensure that the Swedish Authority for Privacy Protection continue to constitute an important function.

Artikel 6 GDPR

Artikel 6.1e GDPR

Artikel 6.1f GDPR

Personlig integritet

Integritetsskydd

IMY

Integritetsskyddsmyndigheten

Kamerabevakning

Law

Juridik

Sledování zaměstnanců / Monitoring of Employees

Losenický, Martin

January 2019

Monitoring of Employees Abstract The thesis aims to provide a critical review of the complex topic of employees monitoring to the reader. The thesis summarises the information from the le- gislation connected to employees monitoring concerning the legal aspects of per- sonal data protection. The thesis also takes into account the recent changes in European legislation. The primary legislation related to this subject is the pro- vision of Section 316 of the labour code, as well as the European regulation of personal data protection GDPR. The thesis is divided into four chapters. The first chapter offers a historical overview of the labour law and the protection of privacy and personal data. In the second chapter, the particular legal bases of employees monitoring are analysed. The third part is focused on the history and the activity of the supervisory authorities which are the Office for Perso- nal Data Protection and the State Labour Inspection Office. In the last chapter, the particular methods of employees monitoring, namely closed-circuit television, control of correspondence, phone calls and business computers, location tracking and biometric identification are described and analysed. Keywords Employees monitoring, closed-circuit television, GDPR

GDPR och Sveriges SMF-företagare : Vad har en elefant och dataskyddsförordningen gemensamt? Båda är omfångsrika, tunga och inger respekt

Björklund, Gisela

January 2019

General Data Protection Regulation (GDPR), i Sverige kallad dataskyddsförordningen, har sin upprinnelse i EU:s lagstiftning. EU-kommissionen presenterade 2012 förslag till nya regler för dataskydd och personuppgiftsbehandling efter att bister i det gamla direktivet om behandling av personuppgifter upptäckts. Den nya förordningen, trädde i kraft den 25 maj 2018. Den snabba tekniska utvecklingen i dagens samhälle har förändrat våra vanor och beteenden jämfört med 1998 – då den tidigare personuppgiftslagen trädde i kraft. Tekniken har gjort det enklare att konsumera varor och tjänster från andra länder, vilket i sin tur medför att även våra personuppgifter sprids och lagras utanför Sveriges gränser i högre utsträckning. EU:s syfte med den nya dataskyddsförordningen, GDPR, var att skapa en enhetlig lagstiftning för hanteringen av dessa personuppgifter i de olika medlemsländerna – och därigenom underlätta det fria flödet av varor och tjänster på EU:s inre marknad; informationen skulle kunna flöda fritt mellan medlemsländerna. En viktig aspekt i arbetet med GDPR var tillkomsten av vissa rekvisit, exempelvis kravet på laglig grund, som ska vara uppfyllda vid behandling av personuppgifter av företag, organisationer och myndigheter och andra offentliga organ. För att besvara syftet och frågeställningen ”Hur har Sveriges SMF-företagare upplevt införandet av GDPR?” har en rättsdogmatisk metod använts. Dessutom har en kvalitativ- och kvantitativ metod använts genom frågeformulär och intervjuer i syfte att ytterligare ge klarhet i frågan. Undersökningen visade på att företagare i första hand använt sig av utbildningar, konsulter eller checklistor på internet för att tillgodogöra sig kunskap om GDPR. Genom intervjun med chefjuristen på Företagarna, Sveriges största sammanslutning av företagare, framkom det att många företagare upplever GDPR som svårt och otydligt, framförallt rörande personuppgiftsbiträdesavtal; när dessa ska appliceras och inte. Både i undersökningen, intervjuerna och flertalet nyhetsartiklar framgick det att förordningen är så pass ny att det kommer dröja innan Sveriges SMF-företagare till fullo satt sig i den, och efterlever förordningen. Det är trots allt ett arbete som ska fortlöpa även framledes; företagarna kan inte slå sig till ro eller nöja sig med att enbart ha infört GDPR i verksamheten.

GDPR

dataskyddsförordningen

SMF-företag

SME-företag

personuppgifter

Law

Juridik

GDPR - Så påverkas detaljhandelns datahantering : en studie av hur GDPR påverkat detaljhandelns datahantering

Stafilidis, Dennis, Sjögren, Ludwig

January 2019

Digitaliseringens framfart har inneburit att användningen av Big Data-analyser har ökat. I takt med digitaliseringens framfart har kraven på datasäkerhet och skydd av personlig integritet ökat. GDPR trädde i kraft 2018 och ställer hårdare krav på hantering av personuppgifter och kunddata. GDPR syftar till att skydda människors integritet och personuppgifter. En av de branscher som hanterar stora mängder data och använder sig av Big Data-analyser för att nå insikter om sina kunder är detaljhandeln. Men för att användningen av Big Data-analyser skall nå sin fulla potential måste den användas upprepade gånger för olika ändamål, medan GDPR föreskriver att kunddata inte får användas för olika syften och ändamål. Syftet med studien är att undersöka och beskriva hur detaljhandelsföretag anpassar sin datahantering till de krav som GDPR ställer. För att undersöka frågeställningen har vi använt oss av en kvalitativ ansats. Vid insamlingen av data har vi genomfört intervjuer, vilka sedan har analyserats genom en tematisk analys. Resultatet i vår studie visar att GDPR har påverkat detaljhandelns hantering av kunddata. Insamlingen har påverkats genom att den blivit mer strikt och genom att inköp av extern kunddata har upphört. Analys av kunddata har påverkats genom ytterligare steg i processen vid behandling samt genom en restriktivare tillgång till databaser och data som används för analys. Aggregering av kunddata har förändrats genom att datakällorna som används har förändrats. Lagringen av kunddata har förändrats då en integrationslösning har skapats som möjliggör radering av lagrad kunddata i olika databaser.

GDPR

Big Data

Detaljhandeln

Information Systems

Vad hände och hur gör vi nu? : En fallstudie om hur GDPR har tvingat den enskilda organisationen till interna förändringar

Ahlberg, Caroline, Bono, Brittany

January 2018

Den nya EU-förordningen GDPR (General Data Protection Regulation) tillämpades under 2018 och har orsakat en hel del förändringar på olika fronter. Främst har de företag och organisationer som hanterar större mängder med personuppgifter blivit påverkade och tvingats till organisationsförändringar för att anpassa sig. Detta dynamiska fenomen har undersökts från flera olika perspektiv under åren, men i och med nya tvingande krafter uppstår ny dynamik. Den externa påverkan som GDPR medför till interna organisationsförändringar är fortfarande ett frågetecken inom forskning och denna ovanliga kontext skapar en utmärkt möjlighet att undersöka samspelet mellan extern påverkan och planerad intern förändring.   Denna studie undersöker vilka interna förändringar GDPR har orsakat inom den enskilda organisationen och vilka effekter detta har medfört. Syftet är därmed att beskriva hur organisationen har påverkats av GDPR med fokus på de olika stadierna i förändringsprocessen. Detta utökas för att få en bredare syn genom att undersöka upplevelserna inom de olika befattningsgraderna inom företaget och därmed få en förståelse för eventuella konsekvenser och utmaningar som har uppstått. Med andra ord ligger övergripande fokus på de organisationsförändringar som uppstår i en tvingad planerad förändring till följd av den externa kraften GDPR.   För att uppnå detta på bästa sätt och kunna skapa en grundläggande förståelse har denna studie använt sig av kvalitativ metod. Med detta i åtanke har en fallstudie gjorts på företaget A3, innehållande en observation samt semi-strukturerade intervjuer inom de olika nivåerna i företaget. Utifrån dessa har den empiriska datan kunnat framställas och gett väga för studiens resultat. Resultatet innehåller bland annat de olika uppfattningarna av GDPR som har getts av ledningen, middle-managers och medarbetarna. I grunden har dessa varit relativt lika men med hänsyn till att olika nivåer uppmärksammar olika synsätt på processen och dess effekter. Vidare har resultaten kunnat analyseras utifrån det teoretiska ramverket, med stort fokus på den sammanfattande modellen som kombinerar externa teorier med interna för att skapa en helhetsbild.   Sammanfattningsvis har analysen funnit att företaget omedvetet har använt sig av flera teorier för en lyckad organisationsförändring, men det har även uppmärksammats en del avvikelser. Exempelvis har företaget använt sig av agilt arbetssätt för att lättare anpassa sig, men inte utnyttjat kommunikationsteorier som vill inkludera alla, utan de har valt att begränsa kommunikationen i olika stadier. I slutändan har författarna funnit att företaget saknar uppföljning på en helhetsnivå för att kontrollera att alla inom företaget förstår och efterlever direktiven. Detta kan även medföra att behövliga förändringar i processen inte upptäcks, utan faller mellan stolarna på grund av den saknade kunskapen av problemen. Utifrån detta har rekommendationer till möjliga anpassningar erbjudits för att skapa uppföljning på en helhetsnivå.

GDPR

Organisationsförändringar

Förändringsprocess

Interna processer

Kommunikation

Business Administration

Företagsekonomi

Jurisdiktion vid internationella dataskyddsöverträdelser : Förhållandet mellan GDPR och Bryssel Ia-förordningen / International jurisdiction over infringements of data protection : The relationship between the GDPR and the Brussels Recast Regulation

Gyllefjord, Emelie

January 2019

With a rapid technology development it becomes easier for individuals to share their personal data. However, this also increases the processing of personal data and the risks of infringements of data protection. With an increasing globalisation the infringements of data protection frequently takes on cross border dimensions making it harder to determine where actions can be brought to enforce the data subject’s data protection rights. This thesis examines the possible ways of interpreting the rule of jurisdiction found in the General Data Protection Regulation (GDPR). Furthermore this thesis investigates the relationship between the GDPR and the Brussels Recast Regulation regarding international jurisdiction over infringements of data protection. After analysing judgements of the court of justice of the European Union and the scope and aims of the Regulations, the general conclusion in the thesis is that both the GDPR and the Brussels Recast Regulation can be applicable on infringements of data protection, provided that the data subject always has the opportunity to bring an action according to the jurisdictional rule of the GDPR. However, there are a lot of uncertainties that demand for an answer. These uncertainties for instance includes the question if, and in that case how, jurisdictional agreements for data privacy is allowed.

Jurisdiktion

Internationell privaträtt

Dataskyddsöverträdelser

GDPR

Bryssel Ia-förordningen

Law

Juridik

Automatisk systemanalys i relation till GDPR med hjälp av spindlar

Fransson, Andreas, Lindow, Erik

January 2018

GDPR är en lag som trädde i kraft den 25 Maj 2018 och ersatte i Sverige Personuppgiftslagen; lagen gäller för organisationer som hanterar personuppgifter tillhörande EU-medborgare eller personer som befinner sig i EU. Om en organisation inte följer GDPR kan det leda till betydande ekonomiska avgifter. Många hemsidor hanterar personuppgifter, både direkt genom t.ex. inloggningsuppgifter men också indirekt genom t.ex. tredjepartsförfrågningar. Det är därför många som är ansvariga för hemsidor nu står inför en stor utmaning, nämligen att följa GDPR. Den här rapporten beskriver utvecklingen av ett verktyg som vi utvecklade för att få en överblick över om hemsidan följer GDPR eller inte i vissa aspekter. Verktyget bygger på olika komponenter som analyserar en del av hemsidan var och deras sammanställda resultat visas i ett webbgränssnitt för användaren. Målet med verktyget var att kunna hitta minst ett fabricerat GDPR-relaterat fel i en testmiljö och det lyckades vi med. Verktyget kan inte säga om en sida följer GDPR eller inte men det kan peka ut potentiella problemområden som t.ex. på förhand ikryssade boxar, osäkra tredjepartsförfrågningar och informationsläckage via en rad webbteknologier. Denna information kan användas för att få en snabb överblick över problem och som grund för vidare analys.

GDPR

spindel

spindlar

systemanalys

Computer Sciences

Datavetenskap (datalogi)

ORGANISATIONSFÖRÄNDRING -ELLER BARA FÖRÄNDRADE ARBETSSÄTT : En kvalitativ studie om dataskyddsförordningens påverkan på verksamma inom rekrytering- och bemanningsbranschen

Engström, Carl, Eriksson, Emma

January 2018

Från och med den 25:e maj 2018 kommer hanteringen av personuppgifter regleras på samma sätt i alla EU-länder. Tidigare har det varit upp till varje land att tolka direktivet om skydd av personuppgifter,vilket resulterat i att Sverige efterlevt personuppgiftslagen (PuL). I samband med den snabba teknikutvecklingen uppkommer ett behov av ett tydligare och mer enhetligt ramverk.Dataskyddsförordningen, förkortat GDPR, syftar till att stärka skyddet för privatpersoner vid hantering av personuppgifter. Den främsta skillnaden i jämförelse mot personuppgiftslagen är att företag inte längre kan äga uppgifter - utan bara låna dem.Studien riktar sig mot en organisation som är verksam inom rekrytering- och bemanningsbranschen.Syftet med studien är att undersöka medarbetarnas upplevelser inför införandet av dataskyddsförordningen samt förklara dessa upplevelser ur ett organisatoriskt förändringsperspektiv.Insamling av data skedde med hjälp av sex semistrukturerade intervjuer på Rekryteringsföretaget AB.De intervjuade har olika befattningar inom omställning, rekrytering och bemanning. Materialet bearbetades därefter med stöd i en innehållsanalys.Vad som framkom under intervjuerna var en gemensam uppfattning om att den information som förmedlats ut vid tidpunkten för studien var undermålig. Det fanns en medvetenhet och allmän uppfattning hos medarbetarna om vad dataskyddsförordningen innebär, men huruvida studiens deltagare ansåg sig som förberedda var något som  varierade. Resultatet visar att i vilken omfattning och på vilket sätt dataskyddsförordningen kommer påverka deltagarna i det dagliga arbetet ännu inte var explicit. Ur ett organisatoriskt förändringsperspektiv har motstånd mot kommande förändring inte identifieras bland de tillfrågade. Det står dock klart att upplevelsen av organisationsförändringen skiljer sig bland studiens deltagare. Detta kan delvis förklaras med anledning av att de innehar varierande mängd information kring förändringen. En ömsesidig upplevelse av tillit till organisationen och ett förtroende till beslutsfattarna konstaterades. Slutsatsen som uppdagas är att sannolikheten till uppslutning bakom förändringen ökar. Vidare skulle fortsatta studier inom området för sociala relationers inverkan på arbetsplatser uppmuntras. Med fokus på förtroendet och tillitens betydelse inom organisationsförändring finns spännande aspekter att belysa.

GDPR

dataskyddsförordning

organizational change

organisationsförändring

motstånd till förändring

Sociology

Sociologi

"Vi väntar på praxis" : - Hur en meningsskapandeprocess av GDPR har gått till

Synnelius, Elvira, Winge, Helena

January 2018

Den allmänna dataskyddsförordningen (GDPR) som börjar gälla 25 maj 2018 ställer skärpta krav på hur företag hanterar personuppgifter. Dessa krav är dock till stor del otydliga hur de ska uppnås praktiskt. Genom att med kvalitativa intervjuer studera hur ett småföretag har arbetat med att skapa förståelse för GDPR kan några av de strategier företag använder sig av när de står inför legislativa utmaningar kartläggas. Med utgångspunkt i Weicks sensemaking-teori och de sju aspekterna av meningsskapande har företagets narrativ kring GDPR analyserats. Resultatet visar på att svårigheterna med att tolka lagstiftningen bidrar till en konflikt mellan att vilja följa lagen exakt och att praktiskt kunna genomföra detta när det inte finns en definit tolkning att tillgå innan praxis har skapats på området.

Allmänna dataskyddsförordningen

GDPR

meningsskapande

sensemaking

Business Administration

Företagsekonomi