Vad är GDPR?
Under de senaste åren har rätten att glömmas diskuterats flitigt, alltså att du ska ha rätten att be till exempel Google att ta bort vissa sökresultat som gäller dig. Detta och mer regleras i GDPR, den nya EU-gemensamma datalagstiftningen som träder ikraft den 25 maj 2018. GDPR betyder General Data Protection Regulation, och är alltså ett generellt skydd för personuppgifter som sparas.

Detta är tredje delen av tre i en serie om GDPR. I den första delen av serien gick jag igenom vad en personuppgift är och varför du ska bry dig om lagen. I den andra delen gick jag igenom vad som måste vara på plats inför skarpt läge, den 25 maj 2018. I denna tredje och sista del ska jag gå igenom hur du ska tänka rent praktiskt för att förbereda din verksamhet.

GDPR-köket

Att ha ett effektiv skydd rent juridiskt är på många sätt som att driva ett en restaurang. Mise en place är en restaurangterm som innebär att allting är på sin plats och att kylskåpen är preparerade för morgondagens service. Du behöver även kockar, diskare och servicepersonal. I det här inlägget ska jag gå igenom vad som behöver vara på plats och vem som ska ansvara för respektive område.

Personuppgiftsansvarige

I GDPR står det att personuppgiftsansvarige är den som ansvarar för att lagen efterföljs. Så vem är då personuppgiftsansvarige? Företaget! Vanligtvis inte en människa, utan ditt företag. I samband med att ni inhämtar samtycke till att spara personuppgifter (se del 2) så ska ni också ange för vems räkning ni gör detta, det vill säga: ”Företaget AB sparar dina personuppgifter för att kunna kontakta dig...” Det är då denne, det vill säga ditt företag, som är ansvarig för lagenlig personuppgiftshantering.

Dataskyddsombud

Är en person som har fått som särskilt uppdrag att övervaka personuppgiftshanteringen. Om ni inte är en myndighet, har en otroligt omfattande personuppgiftshantering eller har känsliga uppgifter så kommer ni dock inte utse ett sådant. Om ni känner att detta kan vara relevant för er sök vidare på Datainspektionens hemsida, men för företagande.se:s läsare kommer jag att utgå från att detta inte är relevant.

Personuppgiftsbiträde

Detta är en tjänst som kan läggas över på ett utomstående företag, vilket vi sannolikt kommer att se mycket av, det vill säga att företag annonserar om att de kan ombesörja er GDPR-compliance som tjänst. Om ni behandlar känsliga uppgifter (till exempel över hälsoinformation) eller har en omfattande uppgiftshantering (till exempel om ni driver en webbplats där man registrerar användare) så kan detta vara en idé. Att lägga över personuppgiftshanteringen på en tredje part som är specialiserad på detta är även ett sätt att hålla sig uppdaterad om utvecklingen på området samt för att bli informerad om man har missat någon aspekt av sin personuppgiftshantering. Detta kan även betraktas som en försäkring. Det vill säga när ni lägger ut tjänsten kan ni även be om dokumentation rörande hur personuppgiftsbiträdet ska säkerställa att ni följer lagen. I lagen finns det nämligen en ansvarsregel som säger att ni (alltså ditt företag/personuppgiftsansvarige) och personuppgiftsbiträdet ska ersätta personer som ni har skadat på grund av bristande personuppgiftshantering, såvida ni inte kan visa att bristen inte var ert fel! Så se till att det blir klart vem som ska bära ansvaret och på vilket sätt denne ska ta ansvaret.

Avtal på plats

Förutom vem som ska ansvara enligt ovan har ni också vad denne ska ansvara för. Detta har jag huvudsakligen gått igenom i del 2 av denna serie, alltså vilken information ni måste kommunicera till personerna vars uppgifter ni sparar och vilken information som ska inhämtas från dessa. Det ni sedan måste se till är att informationen kommer fram, på ett lämpligt sätt, till personerna vars uppgifter ni hanterar. Om du driver en webbsida där era användare registrerar sig bör allt ni ska informera användarna om framgå klart vid registreringen. Om personen fyller i en fysisk blankett kan ni ha informationen på baksidan med hänvisning på framsidan. Det vill säga, du förväntas känna er verksamhet och era kunder och ansvarar därför för att lämna och inhämta information på
lämpligt sätt.

Skydd mot stämningar & böter

Rent praktiskt så kan man arbeta förebyggande på två områden. Man kan förebygga tvister, det vill säga hur gör ni för att rent faktiskt följa lagen. Ni kan också arbeta skadebegränsande utifrån vetskapen om att ibland går saker snett. Alltså hur ser ni till att ni, när saker väl skiter sig, har bästa möjliga förutsättningar för att undkomma situationen? Det kan bli dyrt att anlita en advokat, men det kan bli otroligt dyrt att inte göra det. Hur ni kan minimera advokatkostnader kan ni läsa om här.

I de allra flesta fall beror dock effektivt skydd på att ni har koll på era ”vad” och ”vem”. Vem behöver ni ha på plats och vilka verktyg ska denne ha till sitt förfogande? När det gäller vem, se till att denne eller dessa är personer som förstår både någonting om hur lag fungerar och gärna har lite koll på teknik, eller detta kanske är ett ypperligt tillfälle att etablera ett samarbete mellan tekniker och jurister, beroende på storleken och typen av ert företag såklart. Det är ju inte alla som har tekniker eller jurister och det är inte så att ni måste anställa sådana bara för att GDPR kommer.

Sammanfattningsvis bör ni ta fram ett blankt dokument, som ni sedan skriver ”vad”, ”vem” och ”när” på. Om ni har läst alla delar i den här serien bör ni ha någorlunda koll på vad ni ska skriva under respektive del, alltså: vem ska ansvara, vad ska denne ansvara för och slutligen under ”när” skriver ni: den 25 maj 2018!

Robert Klackenborn
Ejder Advokatbyrå

Missa inga nyheter! Anmäl dig till ett förbaskat bra nyhetsbrev.
0 kommentarer
Du måste logga in för att skriva en kommentar. för att registrera dig som medlem.