ANNONS

GDPR – anledning till panik eller långsiktig noggrannhet?

Som bekant träder dataskyddsförordningen (GDPR) i kraft den 25 maj. Men finns det anledning till panik eller ligger grunderna redan i personuppgiftslagen (PuL)? Vi har pratat med en av Sveriges främsta IT-advokater Agnes Hammarstrand som reder ut frågetecknen. 

Lagen gäller alla EU:s medlemsländer och förordningen kan innebära en hel del förändringar för företag som behandlar personuppgifter. Krångligt och tidskrävande kan tyckas för många, men syftet med lagen är tydlig – stärkta rättigheter för den enskilde när det gäller personlig integritet. 

”För vanliga svenska företag så innebär detta att man måste ha rutiner för hur man behandlar personuppgifter. Företagen behöver ha vidtagit olika åtgärder för att följa lagen, bl.a. inventerat vilka personuppgifter man behandlar och säkerställt att man får behandla de uppgifter man behandlar. Dessutom krävs att man har ett antal rutiner och juridiska dokument på plats – god ordning och reda i samband med struktur är en bra utgångspunkt”, säger Agnes Hammarstrand, advokat och partner på affärsjuridiska byrån Delphi.

Böter införs

Den största skillnaden och skälet till att många tänker efter extra noga när GDPR ersätter PuL är att företag nu kan få böter upp till 4 procent av koncernens globala omsättning. Även andra sanktioner som varning och krav på åtgärder kan förekomma. 

Delphi

Delphi är en advokatbyrå på frammarsch. Byrån har vunnit utmärkelsen ”Årets Advokatbyrå” för stora byråer tre år i rad i Regis årliga branschstudie.

Ett av byråns flaggskepp är den digitala juridiken där Agnes Hammarstrand leder en av byråns stora specialistgrupper på kontoret i Göteborg, som bistår företag med digitalisering, IT, e-handel och dataskydd. 

Agnes är känd som en av landets främsta advokater inom IT och digitalisering och har bland annat mottagit ”Client Choice Award”, bolagsjuristernas egna pris.

Läs mer om Delphi här 

”Det som gör att det blivit så mycket diskussion kring detta nu är att man innan haft personuppgiftslagen (PuL) som inte innehållit några skarpa sanktioner som varit kännbara för företagen vid brott mot lagen, och därmed blivit en ganska tandlös lag. Det man gör nu är att införa böter om man bryter mot lagen.”

Kräver bevis

”Dataskyddsinspektionen är tillsynsmyndighet, de gör revisioner och tillsyn över hur man behandlar personuppgifter. Det gör de redan idag, men nu när intresset ökar finns det mycket som talar för att de kommer att göra fler revisoner än tidigare. De ökar även och blir fler i antal.”

Datainspektionen kan alltså komma att granska företag för att ta reda på om lagen följs. Det är därför viktigt att kunna visa på att man verkligen följer lagen. Men enligt Agnes finns heller ingen anledning till panik, då reglerna till stor del redan existerar.  

”Väldigt många företag har panik inför den 25 maj, men majoriteten av reglerna har gällt i decennier, det är inga nyheter. Många tror att detta kommer innebära en stor förändring men mycket gäller redan idag – i och med PuL. Problemet är att många företag inte följt PuL och då blir detta såklart en stor förändring. Största skillnaden är böterna och då bör man följa reglerna som redan finns idag”, säger Agnes Hammarstrand.

Viktigt att följa lagen på sikt

Det viktigaste är att tänka långsiktigt, inte främst att hinna till den 25 maj. Där ingår att tänka på att GDPR kräver olika typer av kompetens.

”Arbetet tar inte slut med ert GDPR-projekt, det kommer att kräva tid och resurser för att kunna följa lagen långsiktigt, och det är något som kommer att löna sig i längden”, säger Agnes Hammarstrand och fortsätter: 

”Man måste tänka på att följa lagen på sikt. Det är sannolikt mycket större chans att få en revision om några år än just den 25 maj.” 

Fem GDPR-tips från experten: 

1. Ha koll - Identifiera alla behandlingar och lista dessa i en registerförteckning.Börja alltid i de juridiska kraven – Inte i IT-systemen!

2. Inga onödiga uppgifter – Uppgifter får inte behandlas (till exempel lagras) om ni inte har ett lagligt stöd för det och kan motivera varför ni behöver uppgifterna.

3. Rensa! Radera uppgifter som ni inte ska ha kvar, och rätta felaktiga.

4. Skaffa rutiner – Ställ krav på rutiner, dokumentation och policys på plats för att följa reglerna. Skapa utbildning och rutiner för att undvika att fel uppgifter hanteras, en workshop om GDPR är ofta en bra start!

5. Krav på dataskydd – informationssäkerhet för att skydda personuppgifter från att läcka och komma obehöriga till del.

Läs mer om GDPR här