Sen i starten? Så hinner du ikapp med GDPR

Nedräkningen har börjat. Många är i slutspurten med anpassningar till EU:s nya hårdare dataskyddsregler. Andra har inte ens börjat. Oavsett vilket – här är juristens viktigaste råd.

Verksamhetsutveckling
Text: Redaktionen
Publicerad

Den nya dataskyddsförordningen GDPR ersätter den nuvarande personuppgiftslagen den 25 maj. Då ska alla företag och organisationer vara anpassade till de nya EU-reglerna.

”Är du efter det datumet i en bransch som datainspektionen bestämmer sig för att fokusera på, ja då är du rökt om du inte har allt på plats”, varnar juristen Axel Tandberg.

”Rökt” i GDPR-sammanhang innebär att bolaget kan tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro, eller fyra procent av den globala omsättningen.

I stort sett alla svenska företag och organisationer påverkas av regeländringarna kring hur vi får lagra och använda personuppgifter. Många har ett omfattande arbete som väntar.

”Vissa har inte ens hunnit upp ur startgroparna. Andra har kommit jättelångt”, säger Axel Tandberg, som har jobbat med personuppgiftsfrågor sedan år 2000.

Personuppgiftsintensiva företag är ofta bra igång med förändringsarbetet. Andra bolag kan bli överraskade av hur mycket personuppgifter som faktiskt behandlas också hos dem.

”Här märker man att fler kommer till insikt: ´Vänta nu, jag har ju ett lönesystem med personuppgifter i…´”, säger Axel Tandberg.

Fakta GDPR

25 maj 2018 införs ett utökat och EU-anpassat dataskyddsdirektiv (GDPR) som ska skydda vår personliga integritet när personuppgifter behandlas. Då skrotas 1998 års personuppgiftslag (PUL).

På Europanivå drivs arbetet med GDPR av oberoende ICO i Storbritannien. På deras hemsida finns rapporter och mängder av information och kunskap om GDPR och hur arbetet med den nya dataskyddsförordningen utvecklar sig.

De företag och organisationer som har gett sig i kast med arbetet inser snart hur komplext det är.

”Det här handlar om mer än bara it-säkerhet. Om mer än bara juridik. Det är också vad som gör det så intressant – att det är både det ena och det andra. En tandemcykel som man måste lära sig driva framåt ihop”, beskriver Axel Tandberg.

Han understryker vikten av att hitta ett gemensamt språk i organisationen för frågor kring data- och personuppgiftsskydd.

”Det här är inget som bara en person eller en avdelning kan lösa. De som har kommit längst är de som satt sig i grupper tillsammans, med delaktighet från olika avdelningar från början. Där man har gått in i systemen och tittat på de uppgifter som finns ihop.”

Här finns mycket av det positiva med GDPR-omställningen, menar han.

”Det här är faktiskt en fantastisk möjlighet. En naturlig länk mellan avdelningar och en fråga att samlas kring internt. Här kan ni skapa en organisation inom organisationen, som står redo när något händer kring ert dataskydd”, säger Axel Tandberg.

Ett behov som blivit plågsamt tydligt i många organisationer efter sommarens dataskyddshaveri hos Transportstyrelsen.

”Anpassningen till GDPR innebär också en utmärkt möjlighet att kommunicera med de som ni har personuppgifter från, kunder och användare. Ett tillfälle att kommunicera tydligare, bli mer transparanta och stärka relationen.”

Juristens GDPR-tips

Axel Tandbergs råd till företag som inte kommit igång med dataskyddsanpassningarna:

Gräv där ni står. ”Se på hur ni behandlar personuppgifter idag och dokumentera det. Följer ni de nuvarande reglerna, PUL? Många gör inte ens det. Se till att nå dit först. Att annars direkt ge sig i kast med GDPR kan ge dåndimpen”, säger Axel Tandberg.

Alla ska med. ”När behandlar var och en i er organisation personuppgifter? Om alla kollegor noterar varje gång de gör det, i vilket sammanhang och vilken typ av uppgifter det gäller, så får ni överblick över var personuppgifter kommer in och var de tar vägen. En utmärkt kartläggning. Och ni sparar antagligen en veckas konsulttid bara där.”

Avsätt resurser. ”Det här anpassningsarbetet är något styrelsen måste vara beredd att lägga pengar på. Personer måste få lägga tid på det här. Och det handlar inte bara om en person, utan en grupp.”

Håll farten uppe. ”I arbetet behövs en bra projektledare, någon som är driven, antingen en junior- eller senior kraft. Någon som kan springa medan de andra i organisationen kan gå mot målet. Någon som driver på.”

Få inte panik om ni inte hinner i tid. ”Men se i sånt fall till att ha en plan för när allt ska vara klart, en plan med tydliga delmål. Och se till att få allt klart under året 2018. Eller allra senast till 25 maj 2019.”

Varning: ”Tror inte att ni kommer undan bara genom att ta in en konsult eller köpa ett system. Köp inte heller bara juridiken, eller bara it-tjänsterna. Här behövs en samarbetskultur i organisationen, där man lyssnar och lär av varandra.”

Axel Tandbergs råd till företag som är en bit på väg:

Ge inte upp. ”Jobba mot delmål och fortsätt med anpassningsarbetet. Kör ni fast på en enskild fråga, så ta in en konsult eller lägg undan den så länge och gå vidare.”

Läs på och gå utbildningar. ”Ni lär er mer vartefter ni jobbar ihop i er dataskyddsgrupp. Problem som verkade svåra till en början kan visa sig bli enklare när ni kommit längre med arbetet.”

Förbered dokumentationen. ”Kontrollera att det ni har gjort är ordentligt dokumenterat.”

Varning: ”Tro inte att ni är klara. Följ hur tillämpningen av GDPR tar form. Vartefter den ska anpassas till 27 länders lagstiftning kommer den att jämkas och tolkas framöver. Ha en person som kontinuerligt ansvarig för dataskydd. Och fortsätt ha en dataskyddsgrupp som träffas en gång i månaden eller en gång varannan månad.”

Fortsätt läsa kostnadsfritt!

Vi behöver bara en minut…

Så roligt att du vill fortsätta läsa! Det får du strax göra, utan att betala något.

Skapa ditt gratiskonto
  • Tillgång till våra låsta artiklar och webinar gratis!

Dina uppgifter delas aldrig med tredje part. Läs vår integritetspolicy här.