2017.02.02

GDPR - en stor utmaning

I maj 2018 kommer den svenska personuppgiftslagen (PUL) att bli ersatt av en ny dataskyddsförordning. Ofta benämns den GDPR, som är en förkortning av General Data Protection Regulation. Den nya förordningen gäller alla företag som behandlar personuppgifter, tex kunduppgifter, och kommer att gälla i hela EU. Företag som bryter mot GPDR kan få höga straffavgifter.

Henrik Stenberg från Tagore sitter i uppdrag på ett stort svenskt skogsföretag och har under flera månader varit uppdragsledare för ett uppdrag som syftar till att kartlägga behovet av anpassning för att uppfylla den nya förordningen. Tillsammans med en medarbetare på juridikavdelningen har Henrik inventerat behovet av förändringar för att uppfylla GDPR. En del av detta arbetet har innefattat att gå igenom samtliga system som innehåller personuppgifter och dokumentera behovet av teknik- och rutinförändringar. Bl a har företagets olika systemförvaltningar och IT-leverantörer involverats, samt representanter från verksamhetssidan. Henrik tycker att samarbetet har fungerat bra och de flesta har förståelse för att GDPR får påverkan både på verksamhet och teknik.

Det finns stora likheter mellan PUL och GDPR. Den huvudsakliga skillnaden är att den senare även omfattar personuppgifter i ostrukturerat material (i dokument på filservrar, webbsidor m.m.) och har en hårdare straffskala. Om förordningen inte följs kan företaget få böter i miljonklassen. En annan viktig del handlar om att personuppgifter måste raderas när det inte längre finns laglig grund för att spara dem. Dessutom ska en registrerads personuppgifter (i vissa fall, beroende på grunden för behandlingen) kunna raderas om personen ber om det. Utöver de tekniska förändringarna kommer det i vissa fall att behövas utbildning och ändrade arbetssätt för personalen som hanterar personuppgifter inom företaget.

GDPR är en ny förordning och det finns i vissa delar ganska stort utrymme för tolkningar. Datainspektionen är tillsynsmyndighet för GDPR och de kommer successivt tillhandahålla vägledningar som förtydligar förordningen, i takt med att sådana arbetas fram av EU. Att dessa ännu inte finns på plats gör att det inte alltid är helt lätt att veta vad som gäller. Inom vissa områden behöver man därför hitta en lämplig balans mellan att invänta ytterligare vägledningar och göra antaganden. I nästa fas inleds ett intensivt arbete med att implementera de förändringar som krävs för att följa förordningen.

Vill du bli kontaktad?

Klicka på knappen och fyll i formuläret så kontaktar vi dig snarast.

Visa formulär