Dagensanalys.se
Nyheter

Mycket stress kring GDPR beror på missförstånd

Home
Nyheter

Det är snart bara en månad kvar innan den nya dataskyddsförordningen GDPR träder i kraft. Det har givetvis gjort en hel del företag stressade med att hinna bli klara, men enligt många experter beror oron i flera fall på missförstånd kring vad den nya lagen innebär. Computer Sweden har listat några av de vanligaste missförstånden.

  1. Med GDPR ändras allt
    Många lever i uppfattningen at från den 25/5 ändras hela regelverket kring hur personuppgifter ska hanteras, och det mesta blir olagligt. Dock är GDPR till 80-90 % överensstämmande med den gamla lagen PUL. Den största skillnaden är att företag från den 25/5 kan bli bötfällda om de inte följer lagen säger Agnes Hammarstrand på advokatfirman Delphi.
  2. Vi måste ha ett dataskyddsombud
    Det har pratats om vikten av att ha ett dataskyddsombud (DSO) som är ansvarig för att lagen följs på företaget. Det är däremot bara ett fåtal företag som faktiskt måste ha ett DSO säger Malin Edmar på Edmar Law. Företaget behöver en DSO om deras kärnverksamhet bygger på hantering av personuppgifter, de ägnar sig åt systematisk hantering av personuppgifter eller sitter på stora mängder känsliga uppgifter. Det innebär att exempelvis vissa undersökningsföretag, företag inom hälso- och sjukvård och advokatbyråer sannolikt behöver en DSO, men inte en vanlig PR-byrå eller ett IT-företag.
  3. Vi måste prioritera vår ostrukturerade data
    De senaste åren har företag samlat på sig stora datamängder, utan att ha ett strukturerat sätt att hantera dem. Denna ostrukturerade data har hittills varit undantagen PUL, men kommer från den 25/5 att omfattas av GDPR. Företag som noga följt PUL bör fokusera på sin ostrukturerade data, men för många företag är inte heller den strukturerade datan hanterad på ett sätt som överensstämmer med GDPR. Enligt Agnes Hammarstrand är det därför viktigt att börja i rätt ände och se till att ha rutiner och system på plats för att hantera all typ av data, inte bara den ostrukturerade.
  4. Vi kommer aldrig få ordning på mailen
    Mailboxen är en av dessa ostrukturerade data som varit undantagen PUL. Det innebär att många använt mailboxen som ett datalager, vilket inte är syftet med verktyget. Många sitter med överfulla mailkorgar på ibland över 50.000 mail, vilket är en tydlig indikator på att det inte funnits någon struktur för mailhanteringen. Malin Edmar menar att företag, och framför allt individerna, måste börja använda de verktyg som finns för att kategorisera inkommande mail, gallra gamla mail och ha rutiner för e-posthantering som gör arbetet både lagligt och mer effektivt.
  5. Vi måste be alla om samtycke
    När lagen diskuterades i EU fanns det ett förslag om att göra samtycket till den huvudsakliga lagliga grunden för behandling av personuppgifter. Detta har nu ändrats och det finns flera olika lagliga grunder att luta sig mot. Alla är dessutom lika mycket värda, och det är därför värt att fundera på vilken laglig grund du baserar din hantering på. Om en kund handlar av dig måste du exempelvis ha vissa uppgifter för att kunna skicka varan och fakturera, det krävs inget samtycke för utan är en förutsättning för att ni ska kunna ha ett avtal menar David Frydlinger på advokatfirman Lindahl.
  6. Vi måste kryptera all data vi har
    Det finns inget krav på att all data måste krypteras. Däremot måste känsliga uppgifter ges särskilt skydd, vilken kan innebära kryptering. Det kravet har dock funnits även i PUL, så att vara extra noga med att vissa typer av data är skyddade och inte hamnar i orätta händer borde vara något som företag redan jobbar med säger Agnes Hammarstrand.
  7. Hur gör vi när vi måste radera alla som vill bli bortglömda?
    Det har varit mycket prat om ”rätten att bli bortglömd” som finns med i GDPR. Men den rätten är långt ifrån absolut. Du kan exempelvis inte säga till Skatteverket att ta bort alla uppgifter de har om dig konstaterar David Frydlinger. Det är alltså bara i vissa speciella fall som ett företag måste ta bort de uppgifter de har om en person, och då är det oftare beroende på att de inte följt gallringskraven säger Agnes Hammarstrand. I fråga om marknadsföring eller sociala medier kan ett företag tvingas ta bort uppgifter, men i de flesta andra fall ska gamla uppgifter inte ens finnas hos företaget.

Så om du är orolig över GDPR, ta ett djupt andetag och se över om du missuppfattat något i vad den nya lagen innebär. Sannolikt finns det områden som du behöver se över, men förhoppningsvis har du redan följt PUL, och då blir inte omställningen till GDPR riktigt lika stor som du kanske befarat.