Följer du GDPR? Har du svårt att radera ditt kundregister?

GDPR - lever du verkligen upp till kraven?

Detta inlägg skrivs av våra administration som också jobbar med juridiken och inlägget kommer inte att handla om belysning på något sätt utan den nya dataskyddsförordningen, GDPR. Ingen kan väl vid det här laget missat GDPR på något sätt. Man får dagligen olika mail från företag som behandlar ens uppgifter där man accepterar deras förfogande utav dina personuppgifter. GDPR är en akronym för General Data Protection Regulations, en ny dataskyddsförordning som togs fram år 2012 och som tar över den tidigare personuppgiftslagen, PUL. GDPR gäller alla företag, organisationer och föreningar m.m. som på ett eller annat sätt hanterar och behandlar personuppgifter. Förordningen trädde i kraft den 25 maj i år i samtliga 25 av medlemsstaterna. GDPR gäller även andra stater och länder utanför EU som har personuppgifter och en väsentlig del av GDPR är just att man inte får föra ut personuppgifter utanför EU.

Blir det bättre eller sämre med GDPR?

GDPR ställer egentligen till det för både bra och sämre aktörer. Och privatpersoner får flera fördelar och även i gråskalan då det blir svårare för exempelvis polisen att gå efter internet-bedragare eftersom deras personuppgifter är säkrade genom GDPR. Många liknande problem kommer man stöta på allt eftersom lagen rullas ut och verkställs på alla plan. Bland annat blir anonymiteten på internet högre samtidigt begränsas vissa företag ganska ordentligt som har och hade det som sin huvudnäring att hålla med personuppgifter. GDPR är utökade rättigheter för den enskilde kort och gott kan man säga. Olika skydd har förstärkts och man har enklare idag att få veta vad andra faktiskt vet om dig och vilka uppgifter om din person som finns därute. Bland annat är andra viktiga rättigheter lagen ger rätten att bli glömd men också få felaktiga uppgifter borttagna eller uppgifter ändrade.

För många företag blir GDPR ett stort företag. Det är inte möjligt för alla företag att följa GDPR och absolut inte helt ut. Det vill säga vara helt konform med GDPR men som vi nämnt i tidigare inlägg kan det kanske vara bra att följa vissa mer viktiga delar om man inte kan vara GDPR-konform helt ut. Företag har hela avdelningar som arbetar med GDPR på heltid med datasäkerhet för att uppfylla de rättigheter som måste hållas och de skyldigheter som måste beaktas. Även kundregister måste ses över och för många företag innebär det även att uppgifter måste raderas vilket kan kännas både kontraproduktivt och som en dålig idé. 

Vilka uppgifter är sådana som omfattas av förordningen?

Persondata är inte bara dina personuppgifter. Persondata är inte bara dina personuppgifter det är alla uppgifter som identifiera dig som person såsom exempelvis en bild som tillsammans med en adress eller ditt yrke vilket gör databrottet värre och ju mer information som kan peka ut en viss person desto värre är brottet mot dataförordningen och dryga böter utgår. Även IP-adresser är identifierbara och måste beaktas då de kan identifiera en person. Böterna är som sagt dryga ca 4% av företagets årsomsättning på koncernbasis vilket innebär att ett litet svenskt företag som begår brott mot förordningen måste betala böter i procent utav vad koncernen tjänar inte det enskilda företaget och man kan ju räkna ut själv att vilka summor man kan hamna på.

Bör man följa GDPR fullt ut eller räcker vissa delar?

Ett mindre företag med mycket personuppgifter kommer få det tufft att följa lagen fullt ut. Kan man ge ett råd är att se över de mest viktiga delarna av lagen och följa dem bit för bit det går inte göra allt på en gång. Det är inte heller fullt ut ekonomiskt försvarbart att följa lagen till punkt och pricka tyvärr. En rekommendation kan som sagt vara att se över de mest viktiga och känsliga delarna av de personuppgifter man har och upptäcker man att man har dem utan någon anledning ska man djupradera dem vilket man kan göra själv eller få hjälp av en konsultfirma inom GDPR med. Däremot stora företag som ofta både har mer personuppgifter och medel kan med fördel anlita en GDO för att säkra att företaget följer alla riktlinjer för GDPR. För man själv dataintrång kan detta innebära en direkt eller indirekt risk för ägarna och därför måste datainspektionen kontaktas omedelbart om vad som hänt och kanske i vissa värre fall måste även de drabbade underrättas, berättar Voister. Det gäller att börja ta tag i frågan också många verkar vänta tills sista sekund och då kommer man ligga efter då arbetet med att städa upp efter GDPR kan vara omfattande.

Vad ska man göra som stort företag? Ska man bli helt GDPR-konform?

GDPR ställer stora krav på företag som använder personuppgifter som sin huvudnäring i olika former och slag. Övervakning av företag, personer på söktjänster, granskning av personuppgifter osv. Det kräver ett speciellt ombud, en så kallad DPO, Data Protection Officer, som bör jobba tätt ihop med ledning och egentligen alla delar av företaget. En DPO är en ny tjänst som innebär kostnader för företaget men man får väga det mot de presumtiva böter som i andra fall hänger i luften och kan sänka ett företag med enkelhet.

Pernilla på Voister räknar upp tre skolboksexempel som gör att man kommer till bukt med viktiga delar av lagen.

1.Gör inventeringar och kartlägg vilka personuppgifter ni hanterar med både manuell och IT-hanteringen. Vilka uppgifter ska lagras och vilka ska raderas.

2.Vidare menar författaren av artikeln att man bör utbilda alla lärare i varför det är viktigt att säkerställa personuppgifter. Det är en lag som givetvis ska följas till sitt innehåll. 

3.Skapa rutiner och anse ansvariga för detta utifrån analyser som gjorts. Det är viktigt att man gjort klart grundarbetet och kan fylla på med resten allt eftersom och kartläggningen behöver inte vara klar år 2018 men skulle man få en revision förväntar sig myndigheterna att implementeringsarbetet redan är på gång. Ta väl avvägda och genomtänkta val när ditt företag väljer GDPR.

Men framförallt läs lagen och ta ett styrelsemöte om var ni står i frågan! Det kan löna sig i längden. Även om tillsynsmyndigheten datainspektionen inte kommer att kunna verkställa alla som kommer de göra stickprover och statuera exempel man kan gissa att de börjar där det är värst, dvs. företag inom EU som för sina EU-medborgares personuppgifter utomlands. 

Många företag begränsas som sagt men har man ett utgivarbevis är det svårare och man skyddas då av grundlagen där Lexbase är ett exempel som i och för sig lagstiftaren nu försöker stoppa med andra medel men ett företag som får tillhandahålla personuppgifter av känslig karaktär och som skyddas av yttrandefrihetsgrundlagen som GDPR står på andra sidan utav.

Ansvarig utgivare: J.A.