Åke Dahlqvist är chef för analys och affärsstöd och sitter i koncernledningen på kreditinformationsbolaget UC. Här hanterar man massiva mängder personuppgifter dagligen, och dessutom är uppgifterna av känslig natur. Åke Dahlqvist har aktivt deltagit i dialogen kring GDPR under sju år. Han har bedrivit lobbyverksamhet i Bryssel, haft otaliga myndighetskontakter och möten samt lett UC:s arbete med att leva upp till de nya reglerna.
– Alla som bedriver affärsverksamhet tvingas nu tänka till. Se inte de nya reglerna som en belastning utan som en tillgång. GDPR är ett sätt att kunna fortsätta utveckla ens företag och tjänster. Om vi hanterar personuppgifter på ett ansvarsfullt sätt kan vi göra fler affärer framöver, säger Åke Dahlqvist.
GDPR i korthet
Förkortningen står för General Data Protection Regulation. Att det är en förordning betyder att den gäller direkt som lag och GDPR ersätter vår nuvarande Personuppgiftslag, PUL. Syftet med GDPR är att stärka individers rätt till sin persondata. Människor kan nu lättare värna om sin integritet.
Som personuppgifter räknas allt som kan användas till att identifiera en person så som foto, adress, IP-nummer och e-postadress. Lagen gäller bland annat vilka uppgifter som får registreras, vem som har tillgång till dem och hur länge de får sparas.
De företag som brister i sin behandling av personuppgifter kan tvingas att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av en koncerns omsättning. Med andra ord, det finns alla anledning att läsa vidare.
Vad handlar det om egentligen?
Åke Dahlqvist rekommenderar att man ska läsa artikel fem i förordningen för att lära känna de principer som är bärande i förordningen. I korthet handlar det om följande:
- Syfte – Till vad ska du använda personuppgifterna du hanterar? Du måste ha en laglig grund till varför du behandlar dem. Syftet måste vara tydligt och får inte ändras i efterhand.
- Relevans – Du får bara samla in personuppgifter som är relevanta för att uppnå det syfte och ändamål som de samlandes in för. Att samla in uppgifter som kan vara bra att ha i framtiden eller för säkerhets skull är inte förenligt med lagstiftningen.
- Radera – Lagra inte personinformation längre än nödvändigt. Så fort du inte längre har behov av personuppgifterna ska de raderas.
- Tillgång – Bara de medarbetare som behöver personuppgifterna för att kunna utföra sitt arbete ska ha tillgång till personuppgifterna.
- Skydd – Personuppgifterna ska inte gå att stjäla eller riskera att komma ut till obehöriga.
- Vetskap – Människor vars personuppgifter du hanterar ska veta hur och till vad deras uppgifter används. Informationen ska finnas lättillgänglig och vara lätt att förstå. När som helst ska människor kunna återkalla sitt medgivande. Alla har rätten att bli glömd.
Klarar man att implementera GDPR på egen hand?
– Jag tycker man snarast bör skaffa sig en god överblick av vilka krav som följer av GDPR och vad det innebär för min egen verksamhet. Man kan ta hjälp av konsulter eller anmäla sig till en grundläggande kurs eller seminarium som belyser frågeställningarna. När man fått den överblicken blir det lättare att bestämma hur man går vidare, säger Åke Dahlqvist, och avslutar:
– Det är en lång rad saker man behöver göra baserat på typ av verksamhet. Kraven på UC, som har personuppgifter om alla svenskar från 16 år och uppåt, är förstås betydligt mer omfattande än för andra företag som, beroende på verksamhetens art, genomför en mindre mängd behandlingar som avser personuppgifter.
Steg för steg-guide
- Skaffa grundläggande kunskap
Gå en kurs eller på några seminarier. Integritetsskyddsmyndigheten (Datainspektionens nya namn) erbjuder sådana utbildningar, likaså branschföreningar och andra fristående aktörer.
- Titta på de processer som finns i företaget
Det är viktigt att du förstår hur din verksamhet berörs. Identifiera när ni hanterar personuppgifter inom företaget. Det kan exempelvis röra löneutbetalningar, fakturahantering och marknadsföring. Lever ni upp till GDPR eller finns det saker som behöver åtgärdas? Har du inte börjat än så är det bråttom. Fråga dig vad som är viktigast att göra utifrån de nya reglerna.
- Prioritera de hanteringar av personuppgifter där du ser risker för att personer kan komma i kläm och de behandlingar du genomför som riskerar att bryta mot någon av de grundläggande principerna i GDPR. Åtgärda dem! Det brådskar!
- Informera om hur ni hanterar personuppgifter
Var transparent och tydlig med vilken personinformation företaget behandlar och varför. De behandlingar som avser anställda kan man informera om på intranät eller liknade och behandlingar som avser personinformation rörande personer utanför företaget kan man med fördel informera om på hemsidan.
- Uppdatera avtal
Passa på att uppdatera integritetspolicys och eventuella samtyckesavtal om ni har sådana i er verksamhet men se även över eventuella leverantörsavtal där ni låter externa parter behandla information å era vägnar.
- Säkerställ att ni har rutiner för incidenter
Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, har du en skyldighet att anmäla den till Integritetsskyddsmyndigheten inom 72 timmar. Det är viktigt att säkerställa och testa att ni har rutiner som klara det.