GDPR fyller två

GDPR fyller två

Snart två år har passerat sedan GDPR – den nya lagen om personuppgifter – trädde i kraft.
Fortfarande återstår mycket arbete för många företag.
-En stor del är också att få med de anställda på tåget vad gäller exempelvis i kontakt med kunder och leverantörer, säger Jessica Tornberg, biträdande jurist på Maminza Advokatbyrå.

Maminza Advokatbyrå i Linköping fokuserar framför allt på olika juridiska frågor inom affärsjuridik.
-Vi jobbar nästan uteslutande mot företag – med allt från bolagsrätt, arbetsrätt, företagsöverlåtelser, till upphandlingar, tvister och en hel del avtalsrätt. Ett av de stora områdena på senare år har handlat om GDPR, vilket är ett spännande område under ständig utveckling. Maminza hjälper företag och organisationer att tillse att de agerar i enlighet med GDPR, bistår i kartläggning, utarbetar dokumentation och agerar dataskyddsombud, säger Jessica Tornberg.
General Data Protection Regulation (GDPR) eller Dataskyddsförordningen på svenska – trädde i kraft den 25 maj 2018.
-I början var det mycket oro hos företagen för sanktionsavgifter om den nya förordningen inte efterföljdes. Men hittills har det i Sverige varit få sådana. En gymnasieskola i Skellefteå fick böta 200 000 kronor, då de använt ansiktsigenkänningsteknik i strid med dataskyddsförordningen och nu senast, sajten Mrkoll, som tillhandahållit kreditupplysning som inte varit förenlig med förordningen. Men i övriga EU har ju både exempelvis Google och British Airways fällts och ålagts betala miljardbelopp.

Hur långt har det flesta kommit i sitt arbete, enligt din uppfattning?
-Det finns en hel del företag som fortfarande inte lever upp till förordningen och har mycket kvar att göra. Andra har gjort en bra inventering av vilka personuppgifter som behandlas i företaget och har en stark grund att stå på. Uppfattningen är att det varierar ganska mycket. Samtidigt är det ju ett löpande arbete att ständigt följa upp och säkerställa att reglerna följs, därför är arbetet med personuppgifter och dataskydd ingenting som man kan få överstökat. Det kan exempelvis vara så att det uppstår förändringar i företaget som behöver mötas – som att man vänder sig till en ny kundgrupp eller byter IT-system.
Jessica fortsätter:
-Det finns med andra ord mycket kvar att göra. Vi lever ju i ett ständigt ökande informationssamhälle, där det är viktigt för företag och organisationer att erbjuda trygga lösningar och inge förtroende, både gentemot sin personal, kunder, leverantörer och andra aktörer.

Hur stora är egentligen skillnaderna mot innan – med den gamla Personuppgiftslagen?
– Man kan väl säga att det ställs större krav på företagen och det finns en utökad kontroll för personuppgiftsbehandling. I och med detta är det bland annat viktigt att utbilda sin personal och se till att det finns rutiner, exempelvis – vad som händer vid dataintrång eller om personuppgifter kommer i orätta händer? Det måste finnas en plan för att motverka sådant och även kunna hantera om det ändå skulle inträffa.

Ja, hur ska ett företag egentligen agera om det sker?
-Det beror förstås på vad som har hänt och vilka konsekvenser det riskerar att få för personerna vars personuppgifter som är drabbade. Man får göra en bedömning av riskerna och på förhand ha en tydlig rutin att förhålla sig till. Men efterarbetet är minst lika viktigt – att utvärdera hur och varför det gick fel, samt vad som måste göras för att det inte ska inträffa igen.
En stor del i arbetet är enligt Jessica att få med de anställda på tåget.
-Personalen måste förstå hur viktigt det är att följa alla delar för att skydda personuppgifter, eftersom de anställda många gånger hanterar personuppgifter i sitt arbete på ett eller annat sätt. Vi hjälper företag i dessa frågor och framhåller ofta att det är ett mervärde, både mot sin egen personal och omvärlden, att kunna visa att man är en seriös aktör som har ordning på personuppgifterna.

OM GDPR

  • Den nya lagen om personuppgifter – General Data Protection Regulation (GDPR) eller Dataskyddsförordningen på svenska – trädde i kraft den 25 maj 2018.
  • GDPR gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. Detta innebär att samma spelregler gäller på den inre marknaden – en fördel för företagen i Europa.
  • En annan fördel är att vi som individer nu är bättre skyddade än tidigare. GDPR tar hänsyn till den snabba teknikutvecklingen sedan den tidigare Personuppgiftslagen (PuL) trädde i kraft 1998.
  • I Sverige är det Datainspektionen som är tillsynsmyndighet, men utöver dem finns även Dataskyddsstyrelsen inom EU – vilka har uppgift att både skapa riktlinjer och besluta om vissa tolkningar av dessa riktlinjer.
  • Om ett företag inte följer gällande regler kan en administrativ sanktionsavgift tvingas betalas. Den kan vara ända upp till 20 miljoner euro, alternativt fyra procent av företagets globala omsättning.

 

TEXT: Joakim Löwing
FOTO: Björn Lisinski