Vi sparar data i cookies, genom att använda våra tjänster godkänner du det. ⇒ läs mer om cookies

Mikael Suvero: Ny dataskyddsförordning är en rejäl utmaning för organisationer och företag

Annons

Cambridge Analytica fick kritik hur data om personer användes för politiska kampanjer.Foto: AP/TT

I media nämns GDPR (Dataskyddsförordningen) allt oftare. Företag, föreningar, stiftelser – ja faktiskt alla juridiska personer påverkas av denna lag som träder i kraft 25 maj i år. Med böter på upp till 4 procent av bruttoomsättningen så är GDPR ett mycket vassare reglemente än den gamla personuppgiftslagen (PUL) som den ersätter.

I ljuset av skandalen med Facebook och Cambridge Analytica nyligen försöker nu rådgivare, konsulter, advokatfirmor och revisionsbyråer få grepp om de 99 artiklarna i förordningen för att ta fram handlingsplaner för sina klienter.

I ljuset av skandalen med Facebook och Cambridge Analytica nyligen försöker nu rådgivare, konsulter, advokatfirmor och revisionsbyråer få grepp om de 99 artiklarna i förordningen för att ta fram handlingsplaner för sina klienter.

Efter att ha arbetat mycket intensivt med GDPR i ett år så blir reglementet allt tydligare för mig. Min bild är att GDPR söker styrka den fysiska individens rättigheter inom fyra huvudsakliga områden.

För det första har individen rättigheten att kunna begära ut ett utdrag om samtliga de uppgifter som en organisation har registrerat om personen i fråga.

Vidare så har individen rätt att när som helst begära rättning av personuppgifter samt dessutom att få dessa uppgifter raderade om ingen annan lag kräver att dessa behålls.

För det tredje så har personen rätt att få personuppgifterna skickade. Detta gäller inte bara inom samma bransch utan även utanför. Ett exempel skulle kunna vara att man vill skicka sina uppgifter från ICA till Mekonomen.

Avslutningsvis har man rätt att ge samtycke till profilerad marknadsföring. Detta är till för att säkerställa att en organisation inte använder personuppgifter för ett annat syfte än vad som ursprungligen avtalats. Därmed blir GDPR en mycket skarp marknadsföringslag som kommer att slå hårt mot alla typer av Big Data och algoritmer för artificiell intelligens. Värt att notera är att för hantering av så kallade särskilda personuppgifter som till exempel hälsouppgifter, religiös tro och fackföreningstillhörighet så krävs alltid samtycke.

Dessutom ställer GDPR stora krav på att man har kartlagt alla platser där organisationen i fråga har personuppgifter registrerade – hela vägen från IT-systemen till pärmarna i arkivet. Förordningen kräver att man rensar personuppgifter som ej behövs i nuläget för befintliga processer. Med andra ord kan man inte spara personuppgifter för att ”det kan vara bra att ha”.

Organisationen i fråga måste också ha kartlagt vilka syften man har med hanteringen av varje enskild personuppgift. Detta blir extra utmanande då en personuppgift kan användas för flera olika syften.

Sammanfattningsvis så bör organisationen även upprätta en personuppgiftspolicy för hantering av uppgifter.

Allt detta och en hel del därtill måste vara på plats den 25 maj. Min rekommendation är att göra så mycket det går och att fastställa handlingsplaner för utveckling för att uppnå regelefterlevnad enligt Datainspektionen som är övervakande myndighet. GDPR kommer att vara en stående punkt för ledningsgruppen, koncernledningen och styrelsen för en lång tid framöver.

GDPR kommer att vara en stående punkt för ledningsgruppen, koncernledningen och styrelsen för en lång tid framöver.

Mikael Suvero

Har du något att säga?

Skriv en debattartikel.

Skriv debattartikel

Har du något att säga?

Skriv en debattartikel.

Skriv debattartikel

Mer läsning

Annons