Huvudvärk orsakad av GDPR – den går ofta att bota
Säg 25 maj och många kommer direkt att tänka på GDPR. Det är nämligen då den nya förordningen börjar att tillämpas. Många företag, myndigheter och organisationer har sedan länge förberett verksamheten för den nya lagstiftningen, andra har inte ens börjat. En ofta återkommande fråga i dagsläget är hur stressad man behöver vara? Svaret är att det givetvis beror på hur långt verksamheten har kommit med sin anpassning. Är verksamheten inte alls igång med arbetet är det såklart hög tid att börja. Nedan följer några handfasta tips för hur ni kan gå tillväga.
Inledande förberedelser
Om vi utgår från att er verksamhet inte alls kommit igång med GDPR-arbetet så måste verksamheten inledningsvis förstås förberedas för arbetet. Först bör ni fokusera på vilka inom verksamheten som äger frågan och att verksamheten är medveten om den nya förordningen. Beslutsfattare inom verksamheten, exempelvis styrelse, VD och ledningsgrupp bör givetvis veta om att förordningen blir tillämplig inom en snar framtid och vara medvetna om vem som är ansvarig för arbetet. Utöver beslutsfattare är det inledningsvis bra om även andra nyckelpersoner inom verksamheten är medvetna om att den nya förordningen ersätter personuppgiftslagen. Det kan förslagsvis vara personer som är ansvariga på de områden i verksamheten där personuppgifter behandlas.
Analys av nuläget
När bollen väl är i rullning måste ni analysera er behandling av personuppgifter. Ta först reda på vilka personuppgifter ni samlar in och hur ni hanterar dessa. Tänk på att personuppgifter inte endast utgörs av exempelvis namn och personnummer, varje upplysning som avser en identifierad eller identifierbar fysisk person utgör personuppgifter. Ni ska också fundera över hur ni informerar de registrerade och vilken information som ska lämnas till dessa personer. Förordningen medför nämligen hårdare krav på vilken information som måste lämnas ut till de registrerade. Undersök därför om ni behöver ändra verksamhetens informationsutlämning.
Vanligt i svenska verksamheter är också att den så kallade missbruksregeln tillämpas. Med GDPR följer dock att samma regler gäller för alla uppgifter, ostrukturerade uppgifter i till exempel en e-postklient omfattas alltså också av förordningen. Därför måste ni fundera över hur dessa uppgifter ska behandlas framöver. Vidare ska ni undersöka den legala grunden för behandling och hur ni ska hantera förfrågningar från registrerade.
Det är mycket som ska analyseras och struktureras, därför är det bra om ni redan i detta skede börjar tänka både på externa och interna policyer. Ni måste diskutera vem som ska vara behörig för hantering av personuppgifter, då det sällan är nödvändigt att alla i verksamheten har tillgång till samtliga personuppgifter som behandlas. Fundera därför på hur ni kan behörighetsstyra tillgången till era system.
I er analys ska ni även undersöka hur ni inhämtar samtycke. Det är ni som har bevisbördan för att samtycke finns, eftersom ni behandlar personuppgifterna. Klargör även om ni har uppgifter som rör barn, hur ni hanterar personuppgiftsincidenter, om det finns särskilda integritetsrisker med er behandling, om ni har skydd i era IT-system och vem som egentligen ansvarar för dataskyddsfrågor i verksamheten.
Upprätta mål med verksamhetsanpassningen
Kanske kommer ni att upptäcka att er verksamhet har en bit kvar innan den uppfyller alla nya krav med tanke på den korta tid till dess att förordningen träder ikraft. Istället för att drabbas av panik rekommenderar vi att ni gör en nulägesanalys och jämför ert nuvarande läge med önskat läge. Ett bra sätt att tänka är: ”vad är good enough?” och arbeta för att uppnå den nivån fram till den 25 maj. Kartlägg vad som måste göras och få ett övergripande grepp om hur arbetet ska utföras, ta reda på vem som gör vad och vem som är ansvarig för arbetet. Det är alltså det så kallade ”bulkjobbet”. Förbered er på att ni inte kommer att vara helt klara till den 25 maj men att ni ska vara en bit på vägen.
Det praktiska arbetet
Av detta följer att ni omsätter analyserna och kartläggningen till praktiskt arbete. Ha workshops, för en dialog om arbetet och se till att vara pragmatiska. Ser ni till att vara tydliga och resultatinriktade så kommer ni att vara en bit på vägen när förordningen blir tillämplig. Det dämpar också oron för sanktionsavgifter.
Uppföljning
Slutligen ska ni ha en uppföljning av arbetet, även om det förstås kommer att dröja. Se till att ni upprättar policyer och styrdokument och att alla i verksamheten får en internutbildning i GDPR. Många tänker att 25 maj är ett slutdatum, men det stämmer förstås inte. Förordningen är då endast i sin linda och därför måste ni också se till att ha ett löpande dataskyddsarbete för att anpassa verksamheten till ny lagstiftning och praxis.
Avslutande ord
Har man inte kommit igång ännu är det givetvis viktigt att göra det så snart som möjligt. Bör man då vara stressad? Både ja och nej; 25 maj närmar sig och är organisationen stor så är det nog mycket svårt att vara helt klar med förberedelserna till dess. Däremot behöver ni inte ha panik över situationen. Tänk främst på att det ska finnas en plan för arbetet, det är det viktigaste. Har ni grunden så blir resten av arbetet lättare. Några sanktionsavgifter kommer förmodligen inte att dömas ut direkt om verksamheten är igång med sin GDPR-anpassning. Då slipper ni den värsta stressen och förhoppningsvis tycker ni även att det är givande – er personuppgiftsbehandling kommer vara mycket bättre strukturerad och ni ser till att personuppgifter inte far runt okontrollerat.
Lycka till!
Publicerad 23 mar 2018
