Han vet vad den stora utmaningen är med gdpr

2018-01-25 00:00 Hanna Larsson  
Karl-Fredrik Björklund, advokat och partner på Carler, hjälper företag att förbereda sig inför gdpr. Foto: Anna Hållams

UTMANINGAR. Största utmaningen är ostrukturerad data. Men viktigast är att se över systemen som innehåller personuppgifter. Advokat Karl-Fredrik Björklund berättar om arbetet med att anpassa verksamheter till gdpr.

Karl-Fredrik Björklund är advokat och partner på advokatfirman Carler och specialiserad på bland annat it-rätt och integritetsrätt. Sedan ett par år tillbaka hjälper han företag och myndigheter att anpassa sig till gdpr.

Han menar att det absolut viktigaste är att se över behandlingen av personuppgifter i system.

– Det är sannolikt där tillsynsmyndigheten kommer att kolla först, säger Karl-Fredrik Björklund.

Så hur går han till väga i praktiken? Karl-Fredrik Björklund berättar att första steget alltid är att titta på vilka stora, centrala och sökbara system som finns, till exempel hr- och crm-system, och vilka typer av personer som finns registrerade i dem, till exempel anställda, kunder och leverantörer.

– Även namn och mejladress till kontaktpersoner hos andra företag omfattas av förordningen, säger Karl-Fredrik Björklund.

Läs mer: Den nya yrkesrollen – dataskyddsombud

Nästa steg är att kartlägga vilka personuppgifter som finns om grupperna och undersöka ändamålet med varje typ av uppgift. Därefter gäller det att ta ställning till om det finns en laglig grund att behandla personuppgiften – för om det inte finns det ska uppgiften bort. Dessutom är det viktigt att kontrollera systemen i sig: att de är tillräckligt säkra och att bara personer som verkligen behöver det har tillgång till personuppgifterna.

Men den stora utmaningen med gdpr är enligt Karl-Fredrik Björklund att ostrukturerade personuppgifter, till exempel i e-post, sidor på internet, gamla protokoll - även fotografier på människor - omfattas av lika stränga krav som strukturerade. Här brukar Karl-Fredrik i första hand rekommendera gallring av information som inte längre behövs, och att resten läggs i en företagsplattform, till exempel Sharepoint.

– På så sätt kan verksamheten få mer koll på personuppgifterna, säger Karl-Fredrik Björklund.

En annan viktig del av arbetet handlar om att se över avtal med leverantörer och underleverantörer som hanterar personuppgifter, samt att förtydliga och uppdatera informationen till registrerade. En fråga som ofta dyker upp är hantering av e-post med personuppgifter, och här kan lösningen vara en länk till en sida i slutet av verksamhetens e-postmeddelanden som förklarar hur personuppgifter i e-post kommer att hanteras.

Läs mer: Så påverkas du som arbetsgivare av gdpr

Karl-Fredrik Björklund tror att det kommer vara svårt att följa förordningen till hundra procent, men att den som gör sitt bästa förmodligen inte har något att oroa sig för. Hur hårda eventuella sanktioner kommer att bli beror också på vilken typ av personuppgifter verksamheten behandlar.

– Högst sanktioner för överträdelser av gdpr riskerar de som jobbar mot privatpersoner, speciellt inom vård, omsorg och finansiell sektor, och företag som kartlägger individer, till exempel för att rikta erbjudanden till dem, säger Karl-Fredrik Björk- lund.

Hanna Larsson

Kommentarer

Välkommen att säga din mening på Lag & Avtal.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Lag & Avtal eller av oss anlitad personal.

  Kommentarer

Fråga experterna