Experten: Så tacklar du GDPR

Snart går den gamla personuppgiftslagen (PUL) i graven. EU:s General Data Protection Regulation togs fram för att harmonisera dataskyddslagarna och stärka EU-medborgarnas skydd. Lagen vill förändra hur företag hanterar dataintegritet.
Från och med den 25 maj ställer GDPR högre krav på de som vill lagra data om medborgarna. Trots att det brådskar står många företag paralyserade som rådjur i strålkastarskenet. Men nu är det hög tid att ta itu med omställningen.

– Man kan inte stoppa huvudet i sanden och säga att ”det gäller inte mig” – det fungerar inte. Man ska inte låtsas om att det här inte kommer hända, säger Mattias Grundström, förbundsjurist på Swedma.

Ta hem din data

Han konstaterar att de företag som aldrig har ägnat en tanke åt den gamla personuppgiftslagen nu kan få problem med att klara de nya kraven. Lagändringen behöver dock inte innebära enorma insatser, och om man blir granskad så är det viktigt att företaget kan visa att man har gjort någon slags insats. Experten har en rad tips.

– Man ska fråga sig, hanterar jag kunddata? Ja, det gör jag! Vilka data handlar det om? Sedan måste man bryta ned dem. En annan viktig fråga är – var finns min data, säger han.

Om du driver verksamhet inom EU så ska data inte förvaras utanför Unionen. Det finns undantag inom GDPR, men om du planerar att inte ta hem informationen till EU så bör du sätta dig in ordentligt i den nya lagen.

Radera det du inte behöver

– Sedan ska du fundera kring huruvida det verkligen är nödvändigt för dig att hantera den data du behandlar. Behöver du behålla den. Ta fram den data du behöver för din affär, den ska du behålla – resten ska du radera. Vilken data är ”nice to have” och vilken är ”need to have”?

En annan fråga är huruvida ditt företag har laglig grund för att sitta på den insamlade datan? Har ni exempelvis samtycke? Finns det ett berättigat intresse? Huvudregeln är i GDPR är ett förbud mot behandling av känsliga personuppgifter, som etnicitet, religion, fackförbund, politisk tillhörighet, hälsa, sexuell läggning, samt genetiska resp. biometriska uppgifter.

It-säkerhet blir ännu viktigare

– Se även till att bolaget har en bra it-säkerhet och bra koll på uppgifterna. Stora företag kan behöva tillämpa en behörighetspolicy där endast vissa personer kommer åt uppgifterna. Är man ett litet företag så jobbar ju alla med uppgifterna, och då måste också alla ha koll. Du måste även säkerställa att du kan informera de berörda om att företaget behandlar personernas data. Det är en lång rad saker som man ska informera om, säger Mattias.

GDPR ställer också högre krav på de som behandlar data för andras räkning än vad PUL gjorde. Därför behöver man ställa frågor till uppdragsgivarna för att säkerställa att de har koll på den nya lagstiftningen. Mattias rekommenderar den digitala kurs i mobilen som Swedma har tagit fram, där man kan sitta i sin egen takt och lära sig de grundläggande aspekterna av GDPR.

Nummer i mobilen kan omfattas av lagtexten

Förbundsjuristen tycker att det är bra att man nu tar ett stabilt grepp kring personuppgiftshantering. Men lagstiftarna har inte tänkt igenom de långsiktiga konsekvenserna. Faktum är att man teoretiskt kan bryta mot GDPR bara genom att spara ett telefonnummer i mobilen, eller ha en lista med mejl som exempelvis innehåller uppgifter om namn eller telefonnummer.

Men den nya lagen handlar i grund och botten om att man inte ska samla data för samlandets skull – och experten anser att det ligger i företagens intresse att anamma omställningen.

– Vad vill du ha för relation/förhållande till kunderna? Fler och fler av dem förstår att deras personuppgifter är värda något. De företag som inte inser detta kommer förlora kunderna – och de som förstår det kommer vinna marknadsandelar, säger Mattias Grundström.

Sex tips från förbundsjuristen

* Vilka kunddata sitter företaget på? Spara bara det du verkligen behöver för verksamheten – radera resten.

* Var finns företagets data? Om den ligger utanför EU så bör ni ta hem datan, alternativt studera undantaget i GDPR noggrant.

* Har ni laglig grund för den insamlade datan? Har företaget exempelvis samtycke? Finns det ett berättigat intresse?

* Fråga uppdragsgivarna om de har koll på GDPR. Den nya lagen ställer högre krav på kunskap kring regelverket hos de som behandlar data för andras räkning än vad PUL gjorde.

* Företaget måste säkerställa att ni kan informera de som berörs om att ni behandlar deras data. Det är en lång rad saker som man ska kunna informera om.

* Se till att ha en bra it-säkerhet. Stora företag kan behöva tillämpa en behörighetspolicy där endast vissa personer kommer åt uppgifterna. På mindre företag bör alla ha koll.