11 felaktiga påståenden om GDPR

GDPR-experten reder ut missförstånd om den nya persondataförordningen.

Jan Sandtrø partner DLA Piper, GDPR-ekspert

GDPR: Advokaten Jan Sandtrø från DLA Piper reder ut missförstånd kring den nya persondataförordningen. FOTO: DLA Piper.

Den nya persondataförordningen, GDPR, väntar runt hörnet och maj 2018 närmar sig med stormsteg. Men det är inte allt som skrivs eller sägs som är sant. I den här artikeln hittar du några vanliga påståenden som inte är fullständigt korrekta.

1. GDPR och de nya reglerna gäller inte oss

Vissa företag tror att de inte behandlar personuppgifter, men faktum är att alla verksamheter gör detta, oavsett om det gäller anställda, kunddata eller något annat. De nya reglerna gäller för alla verksamheter och man måste granska vilka personuppgifter man behandlar och om detta sker enligt de nya reglerna. Det måste också finnas dokumentation som visar att förordningen efterlevs och en plan för hur avvikelser hanteras. Hur mycket arbete som kommer att krävas för att bedöma och genomföra åtgärder för att efterleva de nya reglerna beror på omfattningen av behandlingen av personuppgifter, vilka typer av personuppgifter som behandlas osv. 

2. Vi kommer aldrig bli redo inför 25 maj 2018, så vi kan lika gärna vänta ett tag

De nya reglerna träder i kraft den 25 maj 2018 och efter det kommer myndigheterna inte att se mellan fingrarna när det gäller överträdelser. Efter detta datum kan verksamheter beordras att korrigera avvikelser eller få böta för att man inte efterlevt regelverket. Även om du inte är redo till den 25 maj är det viktigt att sätta igång arbetet redan nu. Då kommer det vara mindre att färdigställa i det fall att din verksamhet råkar ut för en inspektion. Att du har försökt att efterleva GDPR kan komma att resultera i lindrigare böter.

3. Vi kommer aldrig att kunna följa reglerna helt och hållet, så vi kan lika gärna strunta i GDPR

Som vi nämnde i punkt två kommer det alltid att finnas en risk för att du inte helt följer reglerna, men att inte göra något i motsats till att försöka kommer att påverka bötessumman. I vissa fall kommer verksamheten att få en tidsfrist för att leva upp till reglerna. Då är det bättre att ha något att utgå ifrån, istället för att försöka slutföra ett fullskaligt projekt inom den angivna tidsfristen.

4. GDPR har med affärssystemet att göra, därför bör it-chefen ansvara för projektet

Den nya persondataförordningen omfattar hela verksamheten, inte bara affärssystemet. Även om det är där som själva behandlingen av personuppgifter sker är det sällan it-chefen som hanterar detta. Kraven på de nya reglerna omfattar hela verksamheten och ansvaret för att behandla personuppgifter ligger hos den operativa ledningen, VD:n eller koncernchefen. Ansvaret för genomförandet av GDPR-projektet bör därför ligga hos företagets ledning, medan andra roller kan vara ansvariga för det praktiska genomförandet.

5. GDPR innebär en enorm arbetsbörda som kräver ett omfattande projekt

För vissa verksamheter som hanterar personuppgifter i stor utsträckning eller särskilt känslig information krävs ett stort projekt för att förbereda sig inför GDPR. Men för de flesta bolag är GDPR en överkomlig uppgift som kan genomföras på relativt kort tid (förutsatt att du har rätt resurser tillgängliga och att du utför projektet metodiskt). Det handlar om att kartlägga vilka personuppgifter som behandlas, att bedöma om behandlingen överensstämmer med reglerna, korrigera avvikelser från reglerna, förbereda dokumentation för behandling och andra åtgärder och krav som följer med det nya regelverket. Ett projekt kan slutföras på en till tre månader, beroende på hur mycket som redan finns inom verksamheten, interna och externa resurser samt i vilken utsträckning som personuppgifter behandlas och hur det görs.

6. Vi behöver inte ta hjälp av juridisk kompetens för att bli redo för GDPR

Detta påståendet kan vara korrekt om du hanterar personlig information i mycket liten utsträckning och om du har hög kompetens internt, men för de flesta verksamheter kommer det krävas mer. Man kommer behöva undersöka om behandlingen som sker är i enighet med GDPR och det behöver utarbetas dokumentation och göras värderingar. Det blir en fördel längre fram att du kan visa att du gjort vad du kan för att efterleva GDPR. I regel har de som har erfarenhet av GDPR-projekt också verktyg, mallar och kunskap som gör att projektet kan göras snabbt och effektivt.

7. Vi kan göra oss redo för GDPR enbart med interna resurser

Endast ett fåtal verksamheter har den interna kompetensen som krävs för att hantera ett GDPR-projekt. Med kompetens från tidigare GDPR-projekt samt rätt verktyg och processer kommer projektet att gå snabbare, täcka in alla aspekter och du riskerar inte bryta mot reglerna.

8. Vi har inte tid eller resurser för att utföra ett GDPR-projekt, så använd enbart externa konsulter för att få jobbet gjort

Åtgärder som ska vidtas för att kunna efterleva de nya reglerna måste i viss utsträckning göras av dem som känner till verksamheten. Det är oftast inte möjligt att detta arbete endast utförs av externa konsulter. Ett normalt projekt kommer att kräva 70-80 procents ansträngning från interna resurser och 10-30 procent från externa rådgivare. 

9. Det finns system som hjälper en att bli redo för GDPR

För att vara redo för GDPR måste man granska vilka personuppgifter som behandlas inom verksamheten, bedöma om behandlingen överensstämmer med den nya lagstiftningen, korrigera avvikelser från regelverket samt arbeta med dokumentation och ändringar. Programvara och affärssystem kan fungera som verktyg för att genomföra några av åtgärderna, särskilt i verksamheter som hanterar personuppgifter i stor utsträckning, men programvara och affärssystem kan aldrig i sig självt gör dig redo för GDPR.

10. Om man bryter mot reglerna riskerar man dryga böter

GDPR öppnar upp för mycket höga böter (eller administrativ avgift som det kallas). Verksamheter riskerar att få böta upp till 20 miljoner euro eller 4 procent av den globala årliga omsättningen. Det är dock osannolikt att böter i Sverige kommer att nå gränsvärdena. Bötesnivån kommer dock att öka något från dagens nivå.

11. När vi har avslutat GDPR-projektet kan vi lägga det bakom oss

Att leva upp till de nya reglerna är inte ett engångsprojekt, utan en ständigt pågående uppgift som aldrig tar slut. Verksamheter måste följa reglerna löpande och fortsätta arbetet med dokumentation samt löpande göra ändringar. Företagen måste därför upprätta rutiner för att följa reglerna som måste följas även efter den 25 maj 2018.

Annons
Andra läser också
Annons