GDPR – håll koll på vem som tackat ja eller sagt nej, börja med inventering!
Arrow ECS anordnade nyligen en temadag om GDPR som blir inget mindre än en dataskyddsreform. Ny lagstiftning träder i kraft om ett år så det är hög tid att påbörja arbetet för att anpassa sig i tid till reglerna. Det kan bli dyra böter för den som inte följer reglerna.
Sofia Edvardsen, affärsjurist från Sharp Cookie Advisors, och specialist på området var huvudtalare under temadagen och inledde som första talare. Sharp Cookie Advisors är en nischad byrå mot digitala bolag, IT och dataskydd och skapar tillväxt i företag genom effektiv och affärsdriven juridisk rådgivning.
Träder i kraft om ett år
Sofia bekräftade att företag, organisationer och myndigheter nu har ett år på sig att förbereda sig innan dataskyddslagen träder i kraft den 25 maj 2018. Det är ett väldigt stort förändringsarbete men syftet med föredraget, sa Sofia, var att alla i rummet skulle känna att det är ett arbete som är möjligt att genomföra. Hon rådde åhörarna att börja med att göra en inventering över vilken data företaget hanterar, se över företagets prioriteringar och ta fram en åtgärdslista som speglar dessa prioriteringar.
Det kommer bli enklare för privatpersoner att gå samman och stämma företag. De ska då vända sig till datainspektionen som för deras talan.
Den som redan uppfyller PUL ligger redan bra till och behöver bara kolla vilka förändringarna i förhållande till den gamla lagen blir. Stora internationella företag har ofta redan budgeterat för förändringsarbetet. Man investerar i konkurrensfördelar, förtydligade Sofia och inte ”bara” för att följa lagen. Om företag vill kunna maximera användningen av analys, prediktion, säkerhet, resursoptimering och goodwill behöver det ske på de sätt som lagen föreskriver.
Den som inte följer lagen kan tappa kunder
Man ska fråga sig om man vill jobba med stordataanalys och machine learning eller inte då det påverkar hur man måste jobba med sina register enligt GDPR. Stordataanalys får endast i vissa fall genomföras på personuppgifter och det är viktigt att se till att man har en laglig grund för den behandlingen. Det ställs även krav på att särskilda medgivanden måste ges för den specifika behandlingen. Datamining kommer behöva ske ansvarsfullt. Den som samlat data om personer i ett register måste, vid insamlandet, bestämma vad uppgifterna ska användas till och får, generellt sett, inte ändra sig i efterhand.
Det företag eller den myndighet som inte möter lagens krav kan alltså dömas till ganska dryga böter men ett annat hot som kanske är mer reellt är att man kan tappa kunder eller få ökade omkostnader. När man tillämpar lagen så kan det komma att påverka hur man gör affärer, sa hon vidare.
Man kan påbörja ett anpassningsarbete, säger hon. Om man inte skulle bli klar i tid så kommer det ändå vara en fördel att man har påbörjat anpassningen.
Förklarar innebörden
Vi hjälper företag med beslutsunderlag genom att förklara innebörden av lagen och behov – så att våra kunder kan fatta välinformerade beslut, förklarar Sofia. Den nya lagen baseras på att alla har rätt till integritet – exempelvis att inte bli övervakad och diskriminerad. Det är en mänsklig rättighet som vi tar väldigt allvarligt på i Europa och detta kommer märkas med den nya lagstiftningen som kommer att gälla i hela EU.
Om produkt eller tjänst är beroende av personuppgiftshantering så kan det uppstå frågor om ifall man måste ändra sin verksamhet för att möta de nya kraven. Kravställande och prissättning och även vissa ekonomiska modeller kan komma att ändras i framtiden.
Bygger på framförallt erfarenheter från Tyskland
-Vi som håller koll på de här frågorna har haft koll på europeisk praxis väldigt länge, sa Sofia. Dataskyddsförordningen bygger på erfarenheter från, framförallt, Tyskland där man redan har mycket av de regler och, till viss del, även aktiv tillsyn från myndigheterna.
Ingen har nytta av att ha hur stor mängd data som helst. Det är därför viktigt att vara tydlig. Fundera på vilka register och vilken data som behövs för affären. Med tanke på säkerheten ska det dessutom finnas rutiner för incidentrapportering. Om någon utomstående kommit över personuppgifter ska de som drabbats kontaktas inom 72 timmar och en rapport över intrånget ska skickas till tillsynsmyndigheterna.
En fråga kan vara om man ska spara leads-uppgifter i exempelvis åtta eller 12 månader eller ännu längre. Man kan hitta omständigheter i det aktuella fallet som stödjer flera alternativ.
Vem vill ha direktreklam?
Det är viktigt att hålla koll på vilka som vill ha direktreklam och vilka som tackat nej till det. Folk har också rätt att få reda på om man säljer uppgifter vidare till andra och hur länge man sparar uppgifter. Individer har dessutom rätt att ta del av de uppgifter som sparas om dem.
Sofia rekommenderar att man bjuder in en expertkonsult utifrån som kan hjälpa till med omställningsarbetet och som redan har kunskaper.
En fråga som en deltagare frågade var hur väl man måste radera en uppgift? Ska den utplånas helt eller raderas på ett vis så att den egentligen skulle kunna återskapas? Enligt GDPR krävs att uppgiften inte kan återskapas och åter bli en personuppgift. Det är ingen ovillkorlig rätt för en person att få uppgifter raderade, utan det är en avvägning mellan flera parametrar som företaget får göra innan åtgärd genomförs, tillägger Sofia.
Läs mer om Arrows GDPR Temadag: http://it-kanalen.se/arrow-ecs-hog-tid-komma-igang-med-anpassningen-till-gdpr-2/
Dataskyddsförordningen har beslutats av EU och införs i alla medlemsländer. Just nu gör varje land vissa nationella anpassningar. Här kan man läsa den svenska Dataskyddsutredningens betänkande: https://riksdagen.se/sv/dokument-lagar/dokument/statens-offentliga-utredningar/ny-dataskyddslag—kompletterande-bestammelser_H5B339/html#totop