Han vet vad den stora utmaningen är med gdpr

Karl-Fredrik Björklund är advokat och partner på advokatfirman Carler och specialiserad på bland annat it-rätt och integritetsrätt. Sedan ett par år tillbaka hjälper han företag och myndigheter att anpassa sig till gdpr.

Han menar att det absolut viktigaste är att se över behandlingen av personuppgifter i system.

– Det är sannolikt där tillsynsmyndigheten kommer att kolla först, säger Karl-Fredrik Björklund.

Så hur går han till väga i praktiken? Karl-Fredrik Björklund berättar att första steget alltid är att titta på vilka stora, centrala och sökbara system som finns, till exempel hr- och crm-system, och vilka typer av personer som finns registrerade i dem, till exempel anställda, kunder och leverantörer.

– Även namn och mejladress till kontaktpersoner hos andra företag omfattas av förordningen, säger Karl-Fredrik Björklund.

Nästa steg är att kartlägga vilka personuppgifter som finns om grupperna och undersöka ändamålet med varje typ av uppgift. Därefter gäller det att ta ställning till om det finns en laglig grund att behandla personuppgiften – för om det inte finns det ska uppgiften bort. Dessutom är det viktigt att kontrollera systemen i sig: att de är tillräckligt säkra och att bara personer som verkligen behöver det har tillgång till personuppgifterna.

Men den stora utmaningen med gdpr är enligt Karl-Fredrik Björklund att ostrukturerade personuppgifter, till exempel i e-post, sidor på internet, gamla protokoll - även fotografier på människor - omfattas av lika stränga krav som strukturerade. Här brukar Karl-Fredrik i första hand rekommendera gallring av information som inte längre behövs, och att resten läggs i en företagsplattform, till exempel Sharepoint.

– På så sätt kan verksamheten få mer koll på personuppgifterna, säger Karl-Fredrik Björklund.

En annan viktig del av arbetet handlar om att se över avtal med leverantörer och underleverantörer som hanterar personuppgifter, samt att förtydliga och uppdatera informationen till registrerade. En fråga som ofta dyker upp är hantering av e-post med personuppgifter, och här kan lösningen vara en länk till en sida i slutet av verksamhetens e-postmeddelanden som förklarar hur personuppgifter i e-post kommer att hanteras.

Karl-Fredrik Björklund tror att det kommer vara svårt att följa förordningen till hundra procent, men att den som gör sitt bästa förmodligen inte har något att oroa sig för. Hur hårda eventuella sanktioner kommer att bli beror också på vilken typ av personuppgifter verksamheten behandlar.

– Högst sanktioner för överträdelser av gdpr riskerar de som jobbar mot privatpersoner, speciellt inom vård, omsorg och finansiell sektor, och företag som kartlägger individer, till exempel för att rikta erbjudanden till dem, säger Karl-Fredrik Björk- lund.