GDPR, del 3: praktiska tips

Under de senaste åren har rätten att glömmas diskuterats flitigt, alltså att du ska ha rätten att be till exempel Google att ta bort vissa sökresultat som gäller dig. Detta och mer regleras i GDPR, den nya EU-gemensamma datalagstiftningen som träder ikraft den 25 maj 2018. GDPR betyder General Data Protection Regulation, och är alltså ett generellt skydd för personuppgifter som sparas.

Detta är tredje delen av tre i en serie om GDPR. I den första delen av serien gick jag igenom vad en personuppgift är och varför du ska bry dig om lagen. I den andra delen gick jag igenom vad som måste vara på plats inför skarpt läge, den 25 maj 2018. I denna tredje och sista del ska jag gå igenom hur du ska tänka rent praktiskt för att förbereda din verksamhet.

Beredskap för GDPR

är en restaurangterm som innebär att allting är på sin plats och att kylskåpen är preparerade för morgondagens service. Du behöver även kockar, diskare och servicepersonal. I det här inlägget ska jag gå igenom vad som behöver vara på plats och vem som ska ansvara för respektive område.

Vem är ytterst ansvarig?

I GDPR står det att personuppgiftsansvarige är den som ansvarar för att lagen efterföljs. Så vem är då personuppgiftsansvarige? Företaget! Vanligtvis inte en människa, utan ditt företag. I samband med att ni inhämtar samtycke till att spara personuppgifter så ska ni också ange för vems räkning ni gör detta. Det är då denne, det vill säga ditt företag, som är ansvarig för lagenlig personuppgiftshantering.

Hjälp utifrån

Om ni behandlar känsliga uppgifter (till exempel över hälsoinformation) eller har en omfattande uppgiftshantering (till exempel om ni driver en webbplats där man registrerar användare) så kan detta vara en idé att anlita ett så kallat personuppgiftsbiträde. Att lägga över personuppgiftshanteringen på en tredje part som är specialiserad på detta är även ett sätt att hålla sig uppdaterad om utvecklingen på området samt för att bli informerad om man har missat någon aspekt av sin personuppgiftshantering.

Detta kan även betraktas som en försäkring. Det vill säga när ni lägger ut tjänsten kan ni även be om dokumentation rörande hur personuppgiftsbiträdet ska säkerställa att ni följer lagen. I lagen finns det nämligen en ansvarsregel som säger att ni (alltså ditt företag/personuppgiftsansvarige) och personuppgiftsbiträdet ska ersätta personer som ni har skadat på grund av bristande personuppgiftshantering, såvida ni inte kan visa att bristen inte var ert fel! Så se till att det blir klart vem som ska bära ansvaret och på vilket sätt denne ska ta ansvaret.

Vad?

Förutom vem som ska ansvara enligt ovan har ni också vad denne ska ansvara för. Detta har jag huvudsakligen gått igenom i del 2 av denna serie, alltså vilken information ni måste kommunicera till personerna vars uppgifter ni sparar och vilken information som ska inhämtas från dessa. Det ni sedan måste se till är att informationen kommer fram, på ett lämpligt sätt, till personerna vars uppgifter ni hanterar. Om du driver en webbsida där era användare registrerar sig bör allt ni ska informera användarna om framgå klart vid registreringen. Om personen fyller i en fysisk blankett kan ni ha informationen på baksidan med hänvisning på framsidan. Det vill säga, du förväntas känna er verksamhet och era kunder och ansvarar därför för att lämna och inhämta information på lämpligt sätt.

Advokater kostar pengar, se till att någon annan betalar

Rent praktiskt så kan man arbeta förebyggande på två områden. Man kan förebygga tvister, det vill säga hur gör ni för att rent faktiskt följa lagen. Ni kan också arbeta skadebegränsande utifrån vetskapen om att ibland går saker snett. Alltså hur ser ni till att ni, när saker väl skiter sig, har bästa möjliga förutsättningar för att undkomma situationen? Det kan bli dyrt att anlita en advokat, men det kan bli otroligt dyrt att inte göra det. Hur ni kan minimera advokatkostnader kan ni läsa om här.

I de allra flesta fall beror dock effektivt skydd på att ni har koll på era ”vad” och ”vem”. Vem behöver ni ha på plats och vilka verktyg ska denne ha till sitt förfogande? När det gäller vem, se till att denne eller dessa är personer som förstår både någonting om hur lag fungerar och gärna har lite koll på teknik, eller detta kanske är ett ypperligt tillfälle att etablera ett samarbete mellan tekniker och jurister, beroende på storleken och typen av ert företag såklart.

Sammanfattningsvis bör ni ta fram ett blankt dokument, som ni sedan skriver ”vad”, ”vem” och ”när” på. Om ni har läst alla delar i den här serien bör ni ha någorlunda koll på vad ni ska skriva under respektive del, alltså: vem ska ansvara, vad ska denne ansvara för och slutligen under ”när” skriver ni: den 25 maj 2018!