Nya dataskyddsförordningen ett monster eller en möjlighet?
Det är hög tid för alla företag att förbereda sig för den nya Dataskyddsförordningen, GDPR. Annars kan det bli tufft att hinna med. Så pass tufft att en del till och med kallat den för ett monster, eller den nya millenniebuggen.
Den 25:e maj nästa år ersätts PUL med EU:s nya dataskyddsförordning, GDPR*, som ställer fler krav på hur fysiska personers uppgifter får behandlas. På Kalmar Science Parks senaste Digitala Affärer-seminarium redde advokatbyrån RosholmDell och it-tjänsteföretaget CGI ut vad förordningen innebär och gav konkreta tips på hur man kan förbereda sig.
– Har man rätt verktyg, processer och förståelse för detta behöver inte GDPR vara en monsteruppgift, säger Jonas Axelsson på RosholmDell. Det är inte förbjudet att hantera personuppgifter, men det är omgärdat med en del krav och rutiner.
Personuppgifter en maktfaktor
Du måste, liksom i PUL, få samtycke men också ha en rättslig grund för att hantera personuppgifter, till exempel för att kunna fullfölja ett avtal med en kund. Det ska finnas ett uttryckligt ändamål med insamlandet av uppgifterna. Du måste också ha en rutin för att sortera bort uppgifter så att du inte lagrar dem i onödan. Kunder ska även kunna få tillgång till sina egna personuppgifter och ha möjlighet att rätta dem.
– Nuvarande PUL kom 1998 och är alltså nästan 20 år gammal, säger Kerstin Eifrem på RosholmDell. Mycket har hänt, i och med digitaliseringen med smartphones, internet of things, tracking med mera. Allt påverkar hur vi hanterar personuppgifter och vad vi hanterar. Det är också en maktfaktor att ha dessa uppgifter.
Ta ett helhetsgrepp och få ordning
Föreläsarnas tips är att ta ett helhetsgrepp inför GDPR. Sven-Åke Albertsson, senior projektledare på CGI föreslår att man gör en ordentlig kartläggning och inventering av sina it-system. Se till att det finns huvudansvariga, se över vilka flöden som finns i dem, hur lirar de med varandra och tredjepartsystem, så att du sedan kan utföra nödvändiga åtgärder, för till exempel kravet på eliminering av uppgifter. Det är samtidigt en möjlighet att faktiskt få kontroll och ordning i sitt företag.
– Ge er själva tid och försök vara klara med ert arbete redan i februari, säger Sven-Åke Albertsson. Den svenska tolkningen av lagtexterna kommer förhoppningsvis under våren 2018.
*Förkortningen GDPR står för General Data Protection Regulation
Text och foto Camilla Dopson
Kerstin Eifram och Jonas Axelsson från advokatbyrån RosholmDell föreläste om GDPR tillsammans med Sven-Åke Albertsson från CGI på Brofästet den 29 augusti.