Skip to main content

Mynewsdesks två år långa resa för att bli redo för GDPR

Blogginlägg   •   Apr 13, 2018 09:30 CEST

Daniel Jonsson, Head of Data Analysis och projektledare för GDPR Compliance Project.

"Tydliga svar som förklarar hur man ska tolka GDPR, och vad man behöver göra för att förbereda sig, är svåra att hitta." Det säger Daniel Jonsson, Head of Data Analysis på Mynewsdesk och projektledare för det GDPR Compliance Project som företaget driver.

Det var i april 2016 som EU klubbade igenom den nya dataskyddsförordningen, GDPR. Ända sedan dess har företag varit tvungna att ändra sin approach till hur man hanterar och lagrar personuppgifter och data. Mynewsdesk är inget undantag. Ända sedan Daniel Jonsson tillträdde sin tjänst som Head of Data Analysis på Mynewsdesk, har han arbetat med GDPR i syfte att säkerställa att Mynewsdesk är redo när den nya förordningen träder i kraft 25 maj i år.

Vi valde att intervjua honom för att få en förståelse för vad han har lärt sig på vägen och för att höra om han hade några lärdomar att dela med sig av.

Vad är GDPR?

GDPR är EU:s nya integritet- och dataskyddslag som träder i kraft 25 maj 2018. Det är en integritetslag som i stor utsträckning påminner om de liknande lagar som varje enkilt EU-land redan har på plats. Lagen kommer reglera processen för hur företag samlar in och lagrar individdata och personuppgifter. Den huvudsakliga effekten av GDPR är att individen kommer ha mer kontroll och mer information om sin egen data. Det innebär också att företag måste förbereda och säkerställa att de har en överenskommelse i enlighet med individens rättigheter.

När började Mynewsdesk arbeta med GDPR?

Våra första förberedelser var redan för omkring två år sedan. 

Hur startade projektet?

Det hela började med att vi satte samman en projektgrupp. Projektgruppen bestod av representanter från varje avdelning på Mynewsdesk. Dessutom har vi haft en större projektgrupp där varje avdelning utsåg en projektledare som har varit mer drivande i att göra Mynewsdesk redo för GDPR.

Har vi använt oss av extern juridisk rådgivning?

Ja, vi har samarbetat med en advokatfirma sedan starten av projektet och har även juridisk kompetens internt som arbetat med frågor kring GDPR. 

Vad var de olika stegen i projektplanen för att uppfylla kraven kring GDPR?

Ett av de första stegen var att göra en inventering av alla personuppgifter som vi behandlar inom företaget. Detta har varit den centrala dokumentationen vi använt oss av för att följa GDPRs regelverk och har varit avgörande för att kunna driva projektet.

Vad mer har ni gjort?

Nästa steg var att definiera laglig grund, eller som det kallas i GDPR “laglig behandling av personuppgifter.” I detta steget samarbetade vi med advokater för att fastställa och tydliggöra syftet kring varför vi behandlar data. Detta för att säkerställa laglig grund för alla våra databehandlingsändamål och dessutom för att få det dokumenterat. Sedan dess har vi kört projekt inom hela företaget där varje enskild avdelning gjort specifika förberedelser.

Så vad var dessa specifika förberedelser?

Det har mestadels varit att identifiera, dokumentera och implementera nya rutiner inom företaget. Mycket tid har gått åt till att säkerställa att varje avdelning behandlar data på ett korrekt sätt utifrån vad som lagstadgas i GDPR, och att varje individ får sina rättigheter uppfyllda. GDPR specificerar de rättigheter individen har kring datainsamling och personuppgifter, företag och organisationer kommer efter 25 maj vara skyldiga att förhålla sig till detta. Exempelvis har individen rätten att besluta över den egna datan och man kan när som helst kräva att ett företag raderar den lagrade informationen. Det är ett av många exempel som företag måste ha i åtanke när GDPR träder i kraft.

Vad tror du kommer att vara de mest signifikanta utmaningarna för PR-industrin?

PR-industrin kommer att påverkas av GDPR i stor utsträckning, och det finns några aspekter som är speciellt knepiga att lösa. Det har gjorts en hel del undersökningar kring just förberedelserna, och det visar sig att upp till 90% av företag inte har en automatiserad process för hur man hanterar att en individ utnyttjar sin rätt till att företaget ska radera all data och personuppgifter. Det kommer att vara intressant att se hur företag utvecklar tjänster som automatiserar detta.

Något mer som du kommer på?

En annan intressant sak är att se hur företag kommer att hantera samtycke och huruvida samtycke kommer att vara den primära rättsliga grund för företag, generellt sett. För många företag kommer det att krävas mycket arbete för att samla in samtycke från alla registrerade individer.

Kommer GDPR påverka marknad och reklam mer än PR-industrin?

Generellt sett används data och personuppgifter mer för marknadsföring och reklam jämfört med PR. Det gör att man som marknadsförare kommer behöva avsätta mer tid för att arbeta med frågor som rör GDPR jämfört med de som arbetar mer renodlat med PR och medierelationer. 

Har du några råd till andra företag?

Den största oron som jag ser det är företag som idag säger att de är 100% redo för GDPR. Alla som är väl insatta i GDPR vet att den nya förordningen kommer innebära pågående arbete från företag och organisationer för att säkerställa att man uppfyller alla krav. Jag tror att de företag som säger “Vi arbetar mot att bli redo för GDPR, och vi har en tydlig färdplan för att bli det, men vi vet att vi inte är 100% redo i detta skede.” är de som kommer lyckas allra bäst. 

Är någon 100% redo för GDPR?

Det finns med största sannolikhet företag som är det, men det är förstås beroende av tillgängliga resurser och de specifika utmaningar som varje enskild bransch står inför.

Kan du ge ett tips på vad företag kan göra för att lyckas göra sig redo för GDPR?

GDPR handlar mycket om att företag måste skapa medvetenhet när det kommer till integritetsrelaterade problem. Det gäller för företag att tänka “privacy by design” och att ha integritetsfrågor i åtanke när de påbörjar nya projekt. Det är en väldigt viktig aspekt för att att bli redo för GDPR.

Hur har vi applicerat just detta på Mynewsdesk?

Vi har närmat oss GDPR-projektet från två perspektiv. Det ena är att Mynewsdesk själva ska förhålla sig till GDPR och vi har arbetat med att definiera och dokumentera interna processer som är nödvändiga för just det. Det andra är att assistera våra kunder på sin resa mot att bli förbereda sig för GDPR. För att hjälpa våra kunder har vi utvecklat små förändringar i vårt verktyg som gör det enklare för dem att följa den nya förordningen. 

Några avslutande ord?

Det man vet inom branschen är att definitiva svar är ganska ovanliga. Tydliga svar som förklarar hur man ska tolka GDPR, och vad man behöver göra för att förbereda sig, är svåra att hitta. Det vi vet med säkerhet är att vi kommer behöva förändra gamla vanor, skapa medvetenhet kring integritetsfrågor och arbeta med integritetsskydd i fokus. Dessa aspekter är nödvändiga att ha i åtanke för alla kommande projekt.

Som jag nämnde tidigare har Mynewsdesk jobbat med GDPR-projektet i två år och vi är 100% engagerade i att bli GDPR-redo. Vi har färdplanen och arbetsuppgifterna klara för att ta oss dit.

Vi har gjort en e-bok för kommunikatörer, du kan ladda ned den här

Kommentarer (0)

Lägg till kommentar

Kommentera