GDPR/Dataskyddsförordningen reglerar hur personuppgifter får hanteras och den 25 maj 2018 börjar förordningen implementeras i alla EU:s medlemsländer. Den nya förordningen ersätter därmed nationella regler, som till exempel personuppgiftslagen (PUL) i Sverige. Agneta Bergström projektleder uppstarten av GDPR på Azets, vi passade på att ställa några frågor till henne om hur arbetet går.
Hur går det för Azets gällande GDPR?
– Vi är i fas. Onekligen är det mycket att beta av men vi tar en sak i taget och håller god fart. Redan från början har vi inkluderat medarbetare från alla delar av organisationen, från sälj och marknad, via produktion till ekonomi, IT och ledning. Vi är snart klara med all inventering och kartläggning och vissa av arbetsgrupperna är redan igång med analysfasen.
– GDPR påminner mycket om PUL men i några avseenden skiljer sig dessa åt då GDPR bland annat ställer högre krav på transparens, integritet och konfidentialitet. För oss har säkerhet och integritet samt efterlevnad av PUL alltid varit viktigt. I och med att GDPR tas i bruk får vi ett mer omfattande regelverk att förhålla oss till och då måste naturligtvis alla vara med på tåget, säger Agneta Bergström.
– I projektet har vi två huvudspår; ett när vi är PersonUppgiftsAnsvariga (PUA), det vill säga när vi hanterar våra anställdas eller våra kunders personuppgifter och ett när vi är PersonUppgiftsBiträde (PUB) och hanterar våra kunders anställdas personuppgifter.
För att möta kraven i GDPR ser vi över och utvärderar hela vår informations- och avtalsstruktur. I det arbetet tar vi självklart hänsyn till Privacy by design, ansvarsskyldighet, dataportabilitet, arkiveringstider, anonymisering, kryptering och mycket mycket mera. Under första kvartalet av 2018 kommer vi sammanställa vår dokumentation samt vårt pågående arbete rörande GDPR och personlig dataintegritet på vår hemsida. Avsikten är förstås att göra informationen både tydlig och lättillgänglig för våra kunder.
Vilken blir er största utmaning?
– Att förstå allt vad förordningen kommer innebära i praktiken – och att den inte är helt klar än. Vissa delar kommer att hanteras nationellt och mycket är färdigt, men inte allt. Från det perspektivet kan jag tycka att det är olyckligt att det inte finns en praxis, förordningen börjar tillämpas direkt. Jag hoppas att de nationella tillsynsmyndigheterna kommer praktisera en viss stabiliserings- och harmoniseringsperiod.
Nämn en praktisk förändring i samband med att GDPR träder i kraft?
– Jag vet att en del av våra kunder kommer behöva vårt stöd för att hitta andra rutiner där man idag använder sig av den så kallade Missbruksregeln i PUL för hantering av personuppgifter. Missbruksregeln tillåter behandling av personuppgifter i ostrukturerat material, till exempel i e-post, en enkel lista på datorns hårddisk, ljudfiler, bilder och löpande text på internet, till exempel bloggar, förutsatt att personuppgifterna inte är kränkande. När missbruksregeln försvinner innebär det att samma regler som gäller för personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post. I klartext innebär det att man inte får hantera personuppgifter i e-post, utan att vidta lämpliga skyddsåtgärder som till exempel kryptering.
Är det bra eller dåligt med ett nytt regelverk?
– Min personliga åsikt är att det är hög tid för ett nytt regelverk och jag tycker att det är väldigt bra utifrån ett integritetsperspektiv för alla EU-medborgare. Jag tänker att det både är logiskt och viktigt att EU samordnar så att vi får samma lagar och regler kring hanteringen av personuppgifter över våra nationella gränser, avslutar Agneta Bergström.
Azets jobbar vidare för att vara klara med införandet och säkerställa efterlevnaden av GDPR till maj 2018. Du kan läsa mer om hur Azets hanterar persondata här. Ta kontakt med oss på Azets för rådgivning kring GDPR, redovisning eller lön.
