GDPR - Bra skydd en konkurrensfördel

Inlägg av Cajsa Sydhoff Weibring, Privacy Leader och bolagsjurist på Deloitte, och biträdande jurist Charlotte Thuesen

Frågor om privacy – dvs. privatliv och personlig integritet – är ämnen som berör oss alla och envar, och förekommer mer nu än någonsin tidigare. I takt med att vårt samhälle digitaliseras, att varor och tjänster byter ägare utan att vi fysiskt träffas, och att en stor del av vår information och kommunikation idag äger rum på nya, webbaserade otraditionella arenor, ställs ökade krav och förväntningar på alla aktörer som verkar däri.

Hänsyn och respekt för var och ens personliga integritet och personuppgifter måste varje seriös näringsidkare förstå och hantera. En hög nivå av dataskydd och datasäkerhet är nödvändigt för att säkerställa att personuppgifter hanteras korrekt och i enlighet med vad kunder och intressenter har fog att förutsätta, i förening med de legala krav som lagstiftaren har på företag, myndigheter och organisationer. Frånvaro av dataskydd är förenad med oerhörda affärsrisker. Effekterna kan innebära såväl stora sanktionsavgifter som omvärldens avståndstagande och på sikt uteblivna möjligheter och affärer. För ett företag som hanterar personuppgifter är det därför absolut avgörande att man är införstådd med att hanteringen av personuppgifter sätter avtryck på företagets anseende och renommé om man inte nyttjar dom på ett korrekt sätt med ett tillförlitligt skydd.

Den som investerar i integritetsskydd som genomsyrar alla företagets processer vinner en stor konkurrensfördel. Vi som arbetar med GDPR från insidan råder därför våra kunder att vara proaktiva.

I vårt arbete ser vi alla små och stora integritetsfrågor som dagligen berör företag. Det är allt från de konkreta frågorna om samtycke och när data ska tas bort till större projekt där vi kartlägger dataflöden och processer där personuppgifter behandlas. Många känner oro och osäkerhet medan andra redan har allt förberett och är entusiastiska över alla synergieffekter som de ser.  

Bra skydd en konkurrensfördel
Att anpassa sig till GDPR och det nya regelverket är ingen quick fix. GDPR är ett nytt arbetssätt, en metodlära för hantering av personuppgifter. Individens rättigheter och omsorg om dessa är det centrala som varje aktör måste förhålla och anpassa sig till. Hur man gör detta kommer att variera beroende på vad man gör, för vilka syften, till vems fördel och varför.

Man måste också förstå att man har personuppgifter till låns av en registrerad. Man äger dom inte. Man får nyttja dom – behandla dom – för vissa syften och ändamål som är i överensstämmelse med den verksamhet man bedriver och har utgett sig för att använda personuppgifterna i.

Mycket kan göras för att säkra integriteten enligt de nya reglerna – särskilt inom dessa tre områden:

• DOKUMENTERA - vad, vem och hur. Dokumentationskraven ökar och det är en fördel också internt i verksamheten. Det betyder att ni får bättre kunskap om vem som får göra vad, hur kundkontakten ska se ut och vilka kunderna är.
• UPPDATERA AVTAL med dina leverantörer. Det har alltid varit viktigt att välja samarbetspartner och leverantörer med omsorg. Nu blir det extra viktigt eftersom ni har ett övergripande ansvar för dem som behandlar personuppgifter åt er. Om de inte har regelverket klart för sig blir det ni som får ta kostnaden i form av sanktioner och sämre omdömen.
• HANTERA REGISTRERADES FÖRFRÅGNINGAR. Personuppgifter tillhör den registrerade, och med GDPR ökar individens rättigheter. Ni måste bemöta personliga förfrågningar på ett korrekt sätt och på individens premisser. Se till att ni känner till vad den nya lagen kräver av er när det gäller innehåll, information och svarstider.

Kan ni hantera dessa tre punkter på ett bra sätt har ni kommit en god bit på vägen. Ni kan hantera personuppgifter på ett ansvarsfullt och kan skörda de positiva effekterna genom ett försprång till de konkurrenter som inte fått jobbet gjort.  

Avliva den segaste myten
Till slut vill vi gärna bidra till att avliva den segaste myten av alla vi hör – detta klarar vi inte. Om man inte klarar av att anpassa sig till GDPR, då kommer man i första hand att bli omsprungen av de som kommer att klara av det. I andra hand kommer man inte ha någon verksamhet.

Vi ser att det finns några frågor som återkommer och som många företag undrar över. En av dem är hur ett företag faktiskt kan tillämpa ett regelverk som faktiskt påverkar alla verksamhetsprocesser. Svaret är att hela organisationen måste vara inblandad, både i förändringsprocessen och i framtida efterlevnad. Ledningen måste vara med liksom alla mellanchefer och varje enskild medarbetare.

Alla som kommer i kontakt med personuppgifter måste ha kännedom om reglerna. Inköpsavdelningen måste vara medveten om leverantörernas ansvar för behandling av personuppgifter. Personalen måste vara medveten hur information till och om registrerade får ske. Den legala avdelningen måste anpassa avtalen med hänsyn till personuppgifts-hantering. Alla avdelningar måste ha ett högt säkerhetstänk med en beredskap för hantering av incidenter och databrott. Och integritet måste skyddas genom utveckling, testning och produktion.