GDPR 2019 – ett år sedan dagen D

Den 25:e maj närmar sig. För ett år sedan, 2018, var det ett fruktat datum. Det var startdagen för GDPR, den nya dataskyddslagstiftningen. I Sverige kom lagen att heta Dataskyddslagen.

Det fanns många bud på vad som skulle hända och hur man kunde förbereda sig. Vissa förutspådde direktreklamens död. Andra gjorde sig beredda att radera sitt kundregister och undrade hur man skulle kunna fakturera om man inte fick registrera några personuppgifter. Datainspektionen hade inte mycket information. Jurister påpekade, mycket riktigt: “Det beror på.”

Vi skrev ett antal artiklar för att hjälpa till att förklara vad det handlade om. Alla ligger samlade på vår GDPR-sida. Har du, precis som var fjärde småföretagare i Sverige, ännu inte gjort några insatser som krävs för att följa lagstiftningen? Längre ner i artikeln hittar du en steg för steg-lista på hur du kommer igång och vad du ska göra. Men först en tillbakablick.

Fanns det då någon anledning till oro? Gick världen under? Får man fortfarande se på sin egen spegelbild utan att bli anmäld?

Vad hände?

Det största som hände i Företagssverige var nog att många verksamheter gjorde en kartläggning av vilka personuppgifter man behandlar,  varför man gör det och när de ska tas bort. Dessutom förbättrades informationen till oss registrerade. Alla de här sakerna skulle varit gjorda redan under den tidigare lagen, PuL, men kunskapen om detta visade sig ha varit ganska dålig på många håll.

De registrerade

En del av den förbättrade informationen gällde de registrerades rättigheter. Många var oroliga att detta skulle utlösa en mängd av begäranden att få registerutdrag eller “bli glömd”. Så blev det dessbättre inte. Om det beror på att vi som privatpersoner är lata av oss eller på att vi faktiskt känner oss väl behandlade av dem som har våra uppgifter är svårt att säga. Men det var skönt att den stora stormen aldrig kom.

Läget i företagen

På ytan ser allting bra ut men när man pratar med folk så utkristalliserar sig tre grupper.

  1. Gruppen “Vi har koll!”
    Detta är den största gruppen. Bra jobbat! Fortsätt så.

  2. Gruppen: “Vi har inte hunnit med allt.”
    Detta är också en stor grupp. Man har gjort det mesta och det viktigaste men det finns en del saker man fortfarande jobbar med och använder de resurser man har. Det är bra!

  3. Gruppen: “Det var ju inför 25 maj 2018 så nu behöver vi inte göra mer.”
    Detta är dessbättre en liten grupp men den illustrerar behovet av att sprida kunskap och få till en ändring av hela kulturen runt personuppgifter. Man ska ju kunna driva verksamhet utan att behöva vara jurist.

En fjärde grupp blev just synlig medan jag skriver detta. I en pinfärsk undersökning svarar var fjärde småföretagare, 26%, att de inte har satt sig in i vad GDPR-lagstiftningen innebär.

Att göra: Följ upp den gamla att göra-listan

Kartläggningen

Gör klart om något saknas. Tänk på att det kan skilja sig mellan teori och vad som faktiskt händer till exempel i kundtjänst. Kartlägg rutinerna.

Se till att nya rutiner och system kommer in i dokumentationen från första dagen.

Kontrollera också att tillräcklig information lämnas innan insamlingen av uppgifter.

Policies

Läs igenom igen och se om ni fortfarande är nöjda. Ni har säkert en extern policy men kanske behövs det en intern också?

Städning i mail o på diskar

Detta är nog det svåraste området för många. Hur håller man reda på när filler och mail ska tas bort? Hur hinner man? Hur minns man?

En undersökning visar att cirka 60% av det vi sparar är “dödvikt”. Kanske är vi inte heller tillräckligt kritiska när vi gallrar.

En idé kan vara “veckostädning”. Sätt av en viss tid varje vecka och var noga med att hålla den. Eller varje månad. Det beror på just era behov. Diskutera vad som behöver sparas och hur länge. Se också över om lagringsstrukturen kan förbättras.

Utbilda anställda

Lagen kräver att de som hanterar personuppgifter ska veta vad de gör. Därför är återkommande utbildning av anställda, och dig själv, en av de viktigaste uppgifterna. Man ska också kunna bevisa att man gjort vad man kan för att alla ska ha rätt kunskap, dvs det ska dokumenteras.

Dataskydd är omgärdat av en lagstiftning men är egentligen en kulturfråga, på samma sätt som vi inte stjäl från varandra av rädsla för fängelse utan för att vi inte tycker det är OK. Lagstiftningen är till för att lösa vissa detaljer och att näpsa den som bryter mot kulturen.

Det kommer att ta tid innan alla tycker det är naturligt att behandla personuppgifter som något känsligt man blivit anförtrodd. Därför är det faktum att integritet i Europa är en mänsklig rättighet en av de viktigaste sakerna att ta upp i en årliga utbildningen av sig själv och anställda.

Datainspektionen

Vad har Datainspektionen haft för sig under året som gått? De är ju vår svenska kontrollmyndighet.

Kontroll

Den första granskningen man gjorde gällde om ca 350 företag och myndigheter utsett ett dataskyddsombud. Man fann brister i 16% av fallen och förhållandet var lika mellan myndigheter och privata verksamheter. Av totalt 66 tillsynsärenden gav man reprimander i 57 fall. Eftersom det var så nära lagens ikraftträdande så gav man inga böter utan varnade att de kommer nästa gång om det upprepas.

Man har inlett granskningar om samtycke som rättslig grund, gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde och information som lämnas. Här finns ett besked från Datainspektionen om vad man planerar att granska 2019-2020.

Information

Efter en jämfört med behoven långsam start har man nu börjat publicera information i en allt raskare  takt. Här är deras samlingssida för vägledningar

Vi ska dock minnas att vi fortfarande är början av lagens tillämpning så även om lagen är tydligt skriven så finns det som alltid saker som behöver testas i domstol. Vissa råd kommer vi alltså att få vänta länge på.

Europeisk samordning

GDPR är en EU-lagstiftning och det betyder att lagen ska tillämpas lika överallt. Ett yttrande från Datainspektionen måste därför tas fram i samarbete med de andra kontrollmyndigheterna. Det ska ju gälla lika såväl i Rom och Berlin som Stockholm.

Detta är också en fördel när man söker vägledning. Läser man engelska bra så är den brittiska myndigheten en bra källa för information. Det kan ju ändra sig efter Brexit men man har sagt att man kommer att harmoniera även i fortsättningen.

Datatilsynet i Danmark och Norge är bra källor för oss skandinaver som (nästan) delar språk.

Länkar finns i slutet av artikeln.

Vad kan vi förvänta oss framöver

Låt oss sammanfatta

  • Mer eget arbete så att vi bygger den nya kulturen och uppfyller lagens krav.
  • Vaksamhet eftersom vi hela tiden utvecklar oss och börjar göra nya saker.
  • Fler kontroller från Datainspektionen.
  • Rikligare information från EU:s dataskyddsmyndigheter.
  • Rättsliga avgöranden från olika länder inom EU.

Länkar

Dataskyddsförordningen (GDPR)

Dataskyddslagen (Svensk komplettering till GDPR)

EU-gemensamma riktlinjer / tolkningshjälp

ICO - Dataskyddsmyndigheten i Storbritannien

Datatilsynet Danmark

Datatilsynet Norge

Visma Spcs gdpr-sida

3,8/5 - 8 röster

Visma eEkonomi

Bokföring och fakturering online

Visma eEkonomi passar dig som har enskild firma, handelsbolag och aktiebolag. Med funktioner som automatiserad bokföringshjälp och smart fakturering får du en bekväm överblick och kan börja växa.

Läs mer om Visma eEkonomi