Insight | Webbmagasin för dig inom skatt och ekonomi

Webbmagasin för dig inom skatt och ekonomi
GDPR Carl Otto Lange
Krönika

Tankar inför GDPR

Carl Otto Lange

Krönika av Carl Otto Lange, Nordia Law

Carl Otto Lange GDPR

Jag har haft nöjet att få hålla kurs om GDPR tillsammans med Wolters Kluwer under 2017 och 2018. Inriktningen har varit på revisions- och redovisningsbranschen där behovet av kunskap varit särskilt högt. När vi började våren 2017 var intresset ganska svalt. På kurserna kom det visserligen många deltagare men frågorna och diskussionerna var ganska avvaktande. Till hösten 2017 ökade trycket och vi fick ganska snabbt dra igång ett 10-tal extra kurser både i Stockholm och i Göteborg. Under våren 2018 har trycket ökat ytterligare och vi har fått sätta maxantal deltagare på kurserna. Skall man gå igenom den här typen av ganska krävande regelverk krävs att alla får chans att ställa frågor och komma med synpunkter. Det går inte att ordna om man är för många deltagare.

Jag brukar inleda kurstillfällena med att fråga om hur många som jobbat med Personuppgiftslagen, PUL, tidigare. Det brukar bara vara några få som faktiskt gjort det. Normalt är det bara en tre-fyra personer som tveksamt räcker upp handen. Och då är det ändå erfarna revisorer och bokföringskonsulter som samlats. Samma bild dyker upp närhelst jag träffar klienter i andra sammanhang. Ytterst få verkar ha tagit PUL på allvar. Det har inte funnits några sanktioner om man bryter mot lagen och idéerna bakom PUL har aldrig väckt något större intresse i den allmänna debatten. PUL har varit ikraft sedan 1998 och det måste sägas vara ett misslyckande från lagstiftarens sida att så få har tagit till sig regelverket. Det är ju viktiga frågor vi talar om - din och min rätt till ett privatliv och att själv få kontrollera sina personuppgifter.
 

Skrämselpropaganda

2015 kunde vi läsa rubriker i tidningarna av typen "GDPR hotar att skapa kaos för svenska företag", "Omfattande anpassning krävs", "Skyhöga böter väntar" och "EU:s regler kan stänga internet".

För oss som arbetar med GDPR och ger rådgivning kring den nya förordningen är den här typen av krigsrubriker bekymmersamma. De beskriver inte den framtid som väntar med GDPR. Avsikten med den nya dataskyddsförordningen är att strukturera upp näringslivets hantering av personuppgifter, inte att skapa kaos.

I GDPRs första artikel anges uttryckligen att syftet med förordningen bl.a. är att "värna om det fria flödet av personuppgifter". Företag som är beredda att hantera personuppgifter på ett ansvarsfullt sätt skall kunna göra det även i framtiden. GDPR ger långtgående möjligheter för sådana företag att fortsätta och utveckla tjänster inriktade på personuppgifter. Det är inget fel med att samla in personuppgifter för kommersiellt bruk så länge individens rättigheter inte kränks. GDPR kommer inte att stänga Internet. Det finns omfattande intressanta affärsmöjligheter med behandling av personuppgifter och GDPR är tänkt att ge förutsättningar för att företag och andra skall kunna ta vara på dessa möjligheter.

Inte heller är det säkert att GDPR kommer kräva omfattande anpassningar för alla. De företag och organisationer som idag följer PUL kommer att ha ett ganska begränsat förändringsarbete framför sig. De allra flesta principer som finns i PUL återfinns också i GDPR. Datainspektionen har uttryckt det som att PUL är 90 % av GDPR. Ok, det kommer ställas nya krav, bl.a. på den som hjälper till med personuppgifter - Personuppgiftsbiträdet - som riskerar skadeståndsansvar och sanktionsavgifter om behandlingar inte följer GDPR. Men har man ordning på sina personuppgifter blir övergången från PUL till GDPR den 25 maj 2018 sannolikt inte alltför svår. För alla andra, som har tagit PUL med en klackspark, kan övergången bli besvärligare. Men inte heller för dessa finns det anledning till panik. Det finns massor av hjälp att få.  

Högre sanktionsavgifter kommer. Som mest 20 000 000 Euro eller 4 % av den totala (globala) omsättningen om det blir en högre siffra. Detta är en mycket kraftfull skärpning som givetvis fått fart på de stora bolagen och alla konsulter. Men det är inte så att alla brott mot GDPR kommer att leda till så höga avgifter. GDPR innehåller en lång lista (Artikel 83) på olika omständigheter som skall tas i beaktande när man bestämmer eventuella avgifter. Bl.a. skall man ta hänsyn till om det rört sig om mindre allvarliga kategorier av personuppgifter eller om en överträdelse rör ett mindre antal registrerade. Om skadans storlek är liten och den Personuppgiftsansvarige eller Personuppgiftsbiträdet inte haft någon vinning med att bryta mot GDPR kan det också vara förmildrande. Rena olyckshändelser kommer bedömas lindrigare än avsiktliga brott. Den som hjälper till att ställa saker till rätta efter en incident bör också kunna räkna med en mildare behandling.

Skadestånden till de som drabbats, de registrerade fysiska personerna, har legat på några tusenlappar i Sverige sedan PUL ifördes. Det är inte så mycket pengar.  Inget talar för att det kommer att höjas (återstår dock att se). Men om många drabbas kan de sammanlagda skadestånden snabbt rusa iväg till höga belopp.
 

Vad skall jag göra nu då?

Så, öppna nu upp ett nytt arbetsblad i Excel (eller liknande program) på din dator.

I första spalten till vänster på y-axeln skriver du upp alla olika behandlingar ni hanterar på företaget, t.ex. 1. Lönehantering, 2. Bokföring, 3. E-post och 4. Kundregister.

Sedan sätter du upp följande rubriker i en rad på x-axeln: 1. Ändamål med behandlingen, 2. Kategorier registrerade och personuppgifter, 3. Finns känsliga personuppgifter? 4. Rättsliga grunder, 7. Vem är PUA och vem är PUB?, 7. Finns PUB-avtal?, 8. Krävs info till registrerad?, 9. Mottagare av personuppgifter utanför organisationen, 10. Sker överföring utanför EU/EES?, 11. Lagringstid/gallring, 12. Vidtagna säkerhetsåtgärder, 13. Sker automatiserad behandling, profilering, 14. Krävs konsekvensanalys eller samråd med DI?, 15. Har personuppgifter-incident inträffat?, 16. Åtgärder som skall vidtas, ansvarig, deadline.

Nu har du skapat en matris och det är dags att börja fylla i rutorna. Vilka kategorier registrerar ni t.ex. i ert lönesystem? "Anställda" antar jag. Med vilken rättslig grund? "Anställningsavtalet" antar jag. Osv. Det är ett omfattande arbete så ta dig tid. Gör inte allt på en gång. Börja med en process, t.ex. lönehanteringen, och gör den så klar som möjligt innan du går vidare till nästa process. Delegera arbetet till de som arbetar med den specifika processen, t.ex. kan ekonomiavdelningen ta hand om GDPR-inventeringen av bokföringssystemet och säljarna kan ta hand om kundregistret.

Och när allt känns hopplöst - ta hjälp. Det finns massor av duktiga GDPR-konsulter där ute som gärna hjälper till. Det behöver inte bli så dyrt att anlita dem om man förbereder sig lite grand.

Lycka till!

Carl Otto Lange
Partner, Advokat
Advokatfirman NORDIA

 

Detta är en gästkrönika av Carl Otto Lange på advokatfirman Nordia. Vill du också skriva en gästkrönika på Insight är du välkommen attulrika.avedal-aberg [at] wolterskluwer.se (subject: G%C3%A4stkr%C3%B6nika) ( kontakta redaktionen)

 

Vill du veta mer om GDPR?

Anmäl dig till ett av våra halvdagsseminarier för redovisnings- och revisionsbyråer där Carl-Otto Lange går igenom vilka frågeställningar som är väsentliga för att bli ”GDPR-säkrad”. Seminariet finns även som webbkurs. 

Läs mer och anmäl dig på www.wolterskluwer.se/seminarier