Sök på Företagarbloggen
Företagarbloggen

Företagarbloggen – för dig som driver eget

Företagarbloggen – för dig som driver eget

GDPR – 5 vanliga missförstånd

Av Ida Westin och Sofie Åberg, 18 september 2018

PwC_PC_Athens_GRK_MB_004-1Det har nu gått drygt tre månader sedan GDPR började gälla och under sommaren genomförde Datainspektionen sin första granskning. Förutom att klara kraven för GDPR, verkar en utmaning för många företag vara att tolka de nya reglerna. Här har vi listat 5 vanliga missförstånd kring GDPR.

Den stora uppmärksamhet kring GDPR som uppstod precis innan 25 maj med utskick av information till privatpersoner har lagt sig. Sedan dess har vi märkt att många gjort väldigt olika tolkningar, inte minst när det gäller registerutdrag. Många företag och organisationer har inte fungerande processer för registerutdrag än och kan inte lämna rätt information i tid.

Läs också: GDPR - en snabbguide för företagare


Det finns ett antal olika missförstånd och misstag som företag gör kopplat till GDPR. Här har vi listat några av de vanligaste missförstånden:

1. Alla måste ha ett dataskyddsombud

För alla myndigheter och offentliga organisationer är det obligatoriskt att ha ett dataskyddsombud, så även för vissa företag, men inte för alla. Många företag tror att alla behöver ett dataskyddsombud. Rekommendationen är att ha en motsvarande roll men att kalla den rollen för något annat än dataskyddsombud för att undvika missförstånd. Väljer man att frivilligt utse ett dataskyddsombud gäller samma krav för dataskyddsombudets status, ställning och uppgifter som om utnämningen hade varit obligatorisk.

Läs också: Ta reda på om ditt företag måste utse ett dataskyddsombud!

2. Anlita ett personuppgiftsbiträde=avskriva sig ansvaret

Missförståndet att man helt kan avtala bort ansvaret för hantering av personuppgifter genom att anlita ett personuppgiftsbiträde. Även personuppgiftsbiträdet kan utsättas för sanktioner vid vårdslös hantering av personuppgifter. Företaget (som är personuppgiftsansvarig för sin verksamhet) kan inte helt avtala bort ansvaret oavsett hur många personuppgiftsbiträdesavtal som tas fram.

3. Samtycke och kryptering är ett måste

Ett vanligt misstag är att tro man inte får göra något om det inte finns samtycke och att allt måste krypteras. Alla personuppgiftsbehandlingar behöver inte samtycke. Samtycke är endast en av flera lagliga grunder för att få behandla personuppgifter. Kryptering är en av flera säkerhetsåtgärder och vilken åtgärd som är mest lämplig för att skydda personuppgifterna måste analyseras från fall till fall.

4. Nu (efter 25 maj) kan man lägga GDPR-arbetet lite åt sidan

Många slappnar av och tror att när uppmärksamheten lade sig efter 25 maj behövs det inte göras något mer. Även om det var mest uppmärksamhet kring GDPR tiden innan 25 maj så krävs rutiner för uppföljning och säkerställande att lagkraven uppfylls över tid. Efterlevnad av GDPR är en ständig process och det behöver finnas en plan för uppföljning av efterlevnaden och denna bör vara integrerad med övrigt säkerhetsarbete.

5. Nyheter i GDPR går före grundläggande krav i personuppgiftslagen

Har ni lagt störst fokus i anpassningsarbetet på nyheterna i GDPR, trots bristfällig efterlevnad av den tidigare personuppgiftslagen? Det kan ha lett till dåliga prioriteringar och fokus på fel saker. Många uppfyllde inte personuppgiftslagen (PuL) tidigare, men har ändå i stort sett endast fokuserat på specifika nyheter i GDPR. GDPR innehåller några viktiga nyheter, men innan fokus läggs på nyheterna bör man se till att man uppfyller grundprinciperna och de mest grundläggande kraven.
Vill du veta mer om GDPR? Läs mer här >>

Intresseområde: Digitalisering, Driva, Äga

Dela artikeln:

Ida Westin och Sofie Åberg

Ida Westin och Sofie Åberg
Ida Westin och Sofie Åberg arbetar som GDPR-specialister på PwC:s kontor i Stockholm.
ida.westin@pwc.com
sofie.aberg@pwc.com

 

Missa inga blogginlägg!

Kommentarer

Få det senaste direkt i inboxen

Skribenter