Vanliga frågor om GDPR – Vi ger er svaren!

Välkomna till den sista delen i vår bloggserie om GDPR. I denna del tänkte jag att vi ska runda av med att klargöra några av de frågetecken som brukar uppstå kring GDPR och svara på de frågor vi har fått.

Här följer några av de vanligaste och viktigaste frågor som vi har fått under vårt arbete med GDPR.

frågor och svar

Det är ju väldigt mycket man ska göra, måste man vara helt klar 25 maj?

Ja, rent krasst så måste man det. Förordningen tillämpas från den 25 maj 2018 och gäller då fullt ut. Däremot är det såklart en komplex lagstiftning, och det är precis som ni skriver svårt att hinna med att genomföra allt. Det finns dessutom vissa områden som är svåra att helt anpassa sig efter innan det kommer domar och praxis på vad som egentligen gäller. Hundraprocentig uppfyllelse är såklart en bra vision, men börja där de största riskerna finns och arbeta därifrån.

Hur kommer man egentligen igång?

Vi rekommenderar att man börjar med att göra en avstämning och kartläggning av nuläget. Vi vet att personuppgiftshanteringen ser olika ut beroende på vilket företag man tittar på, därför blir det svårt att ge ett generellt råd exakt hur eller vart man ska börja. Rent allmänt så gäller det att skaffa sig kunskap om vilka personuppgifter vi har idag, varför vi har de och hur vi behandlar de. Även inom organisationen kommer ni säkert hitta stora variationer i hur man hanterar personuppgifter, det är därför ett tips att börja utbilda alla medarbetare så fort man kan för att minska variationen och att ha tydliga processer och rutiner för att åtminstone ge alla rätt förutsättningar att bete sig ansvarsfullt med personuppgifter.

Enligt GDPR behöver man en laglig grund till behandlingen av personuppgifter, men vad räknas som en laglig grund?

Enligt GDPR finns det i praktiken sex lagliga grunder; samtycke, avtal, rättslig förpliktelse, berättigat intresse, myndighetsutövning och allmänt intresse. Att komma ihåg är att om personuppgiftsbehandlingen är nödvändig för att kunna fullfölja ett avtal (till exempel anställningsavtal eller hyresavtal) så räknas det som en laglig grund och då behövs inte ett särskilt samtycke. Detta gäller även vid en rättslig förpliktelse, där bokföringslagar och liknande kräver att vi sparar uppgifter en viss tid. Berättigat intresse handlar om att om vi som företag har ett väldigt stort intresse av att behandla en personuppgift och även tror att individen tycker att det är bra. Det gäller till exempel vid direktmarknadsföring. Däremot måste man omedelbart upphöra med sin marknadsföring om individen säger ifrån. Berättigat intresse gäller bara för privat sektor och kan inte användas av myndigheter.

Kommer man få skicka lönespecifikationer med mail?

Man bör vara mycket försiktig med att skicka lönespecifikationer via mail om de inte är krypterade. Det man behöver tänka på är att det är ungefär lika säkert att skicka mail som att skicka ett vykort, vem som helst som får tag på det kan läsa exakt vad det står. Lönespecifikation kan innehålla känsliga uppgifter såsom information om sjukfrånvaro. Det kan därför vara bra att redan nu börja kolla på alternativa sätt att skicka lönespecifikationer till era anställda. Till exempel finns det en rad digitala brevlådor där mottagaren loggar in för att läsa sin post som kan vara ett säkert alternativ. Det kanske finns en intern portal där man kan ladda upp lönespecifikationen där medarbetaren loggar in för att hämta den, eller kanske är det rent av aktuellt att ge posten ett uppsving och skicka lönespecifikationen på brev? (Men det finns såklart andra miljöetiska skäl till varför just post inte är det bästa alternativet!)

Är det verkligen rimligt att vi ska ha koll på vad alla medarbetare i vår verksamhet gör? Alla kan ju göra fel ibland!

Självklart finns det en mänsklig faktor i det hela vilket gör att det kanske inte kommer gå helt rätt till 100% av tiden, men det vi kan göra är att skapa rätt organisatoriska förutsättningar med tydliga rutiner och processer så att de anställda vet vad de ska göra och hur de ska bete sig. Det är ju även olagligt att ta emot mutor till exempel men sådant händer tyvärr också. Vi som företag måste dock kunna visa på det har funnits rätt förutsättningar för att göra rätt, alltså att medarbetaren har rätt kunskap och rätt teknik. Gör man då ändå fel bör man hantera det som man hanterar andra avvikelser i företaget, alltså att chefen pratar med medarbetaren samt att man ser det som ett tillfälle att se över rutinerna, kanske har man inte varit så tydlig som man trodde?

Stort tack till er som har följt denna serie! Glöm inte att ni kan fortsätta ställa era frågor till mig, eller delta på vår kurs om GDPR med start i januari för att få mer handfasta tips. Jag finns på denize.handestam@consultatum.se eller 070 211 96 56