– Har man arbetat för att följa PUL sedan tidigare har man en bra grund för att fortsätta arbeta med GDPR, i grunden handlar det till mångt och mycket om samma regler som gäller idag.
Det säger Christopher Bona på Advokatfirman Delphi. Han och Pia Roth är flitiga föreläsare inom GDPR och möter många frågeställningar ute bland företagare.

– Det finns lika många frågor som det finns företag, säger Pia. Stora och små, högt och lågt. Från hur man gör med gamla mail och om man kan spara en lista på personalens matallergier i en databas inför nästa års kick-off till hur man ska tänka gällande system som innehåller spårning, loggning och kanske GPS-signaler där olika lagstiftningar samverkar. Och alla frågeställningar är lika viktiga, för det handlar ju om just den verksamhetens utveckling och framtidsplanering.

Christopher berättar att uppdragskön nu fylls på av företagare som insett att tiden är knapp och att de har en hel del jobb att göra, som vill ha hjälp att definiera hur och med vad de ska gå vidare. Han nämner ansvarsskyldigheten som det centrala. Att företaget ska kunna visa, med dokumentation, vilka bedömningar man gjort för att uppfylla GDPR’s olika krav och menar att bara man börjar är man en bra bit på väg.
– Utarbeta en plan efter vilken ni tänker jobba. Som visar på en riktning framåt. GDPR är inget man blir klar med, utan ett nytt sätt att arbeta på. Men det är en förordning som gäller direkt inom hela EU och inget man kan välja bort.

Christopher och Pia trycker på att man inte ska se GDPR som enbart negativt. Visst genererar det en hel del arbete, men det för också med sig positiva effekter. Möjligheten att utveckla och implementera bra rutiner, effektiva processer och god dokumentation är något hela verksamheten mår bra av. En inventering av vilken data man har sparad, rensning av dubbletter och inaktuell information mynnar ut i att man skaffar sig koll och överblick – det som i grund och botten är det viktigaste.

GDPR utgår ifrån den registrerades rättigheter, och kommer från den 25 maj att gälla i hela EU och med gemensamma regler. Christopher kallar det ett helt nytt ekosystem gällande integritet och privacy och poängterar att det är styrelsens ansvar att GDPR initieras och efterlevs.
– De nya reglerna hänger i mångt och mycket ihop med företagsstrategiska frågor. Policys och riktlinjer ska gås igenom och uppdateras. Rutiner och dokumentation upprättas. Förhållningssätt, till exempel gentemot den stora exponering man idag utsätts för i sociala medier, ska utformas. Information, både sann och falska rykten, sprids otroligt fort idag. Vad händer till exempel om man som företag blir synlig i en GDPR-relaterad tvist? Sanktionsavgifterna, som visserligen potentiellt är otroligt höga för att, enligt lagtexten, vara både tydliga och avskräckande, är inte det enda som hotar. Kanske följer stämningar och skadestånd till? Tusentals kunder som i protest väljer att på en och samma gång utnyttja sin rätt att begära att bli raderade från systemen? Sådana situationer riskerar att skapa både badwill och en mängd merjobb. Här har styrelsen ett stort ansvar att se till att det inte händer.

Det är också styrelsens uppgift att se till att anpassa verksamheternas olika system. Att integritetsaspekterna tillgodoses är numera lika viktigt som teknisk prestanda och pris.
– Det ska vara enkelt och effektivt att få ut ett samlat registerutdrag om någon ber om det. Den personuppgiftsansvariga är skyldig att besvara en registrerads förfrågan ”utan onödigt dröjsmål” och därför är det inte riktigt läge att behöva sitta och leta igenom en mängd olika listor från flera olika system, utan viktigt att det finns en rutin på hur detta utförs och dokumenteras, säger Pia och fortsätter: GDPR gäller inte bara det som händer från och med nu. Det innefattar historiken, det man har sedan gammalt. Och även ostrukturerat material såsom textdokument, web, e-post och data man sparat i mobil och surfplattor.

Både Pia och Christopher hoppas att det inte ska vara rädslan för sanktioner som ska vara drivande i GDPR-arbetet, utan viljan att anpassa och lyfta sin verksamhet till de nya kraven. För att leva vidare, utvecklas och naturligtvis skaffa sig konkurrenskraft och kvalitetsfördelar.
– Den 25 maj ska vi vara redo att börja leva med GDPR. Det betyder att det inte är ett arbete som vi kan utföra, bocka av och sedan parkera. Det är ett fortgående verksamhetsprojekt som kräver styrning, kontroll och uppföljning. Styrelsen bör vara drivande i att se till att GDPR efterlevs och att företagsledning och bolagets organisation utvecklas i takt med att verksamheten förändras, och nya rekommendationer och tillämpningar kommer på plats. Ett mycket viktigt jobb, avslutar Pia.

TEXT: Mirjam Lindahl
FOTO: Mirjam Lindahl