7 myter om GDPR
Om mindre än 60 dagar träder GDPR ikraft. Har ditt företag gått vilse i GDPR-djungeln? FCG slår hål på 7 myter beträffande det nya regelverket:
Myt: Reglerna i GDPR gäller endast de personuppgifter som behandlas digitalt
Nej, GDPR är teknikneutralt. Med detta menas att reglerna i GDPR omfattar all personuppgiftsbehandling oavsett om den sker på automatiserad eller manuell väg.
Myt: Alla handlingar som innehåller personuppgifter omfattas av kraven i GDPR
Nej alla sådana handlingar omfattas inte av kraven i GDPR. Det är endast de handlingar som är sökbara, exempelvis ordnade i register som omfattas av kraven. Fysiska ostrukturerade handlingar, exempelvis handlingar du har liggande på ditt skrivbord omfattas därmed inte utav kraven i GDPR.
Myt: Det krävs alltid samtycke för att få behandla någons personuppgifter
Nej. Samtycke utgör endast en möjlig grund för laglig behandling av personuppgifter. Utöver samtycke finns följande lagliga grunder för behandling: avtal med den registrerade, genom fullgörande av rättslig förpliktelse (exempelvis lagkrav), för att skydda den registrerades grundläggande intressen, för att fullgöra en uppgift av allmänt intresse, för myndighetsutövning samt efter en intresseavvägning (berättigat intresse).
Viktigt att påpeka är att utöver laglig grund för behandling måste övriga bestämmelser i GDPR följas samt att de sju principer som anges i artikel 6 måste efterlevas vid all behandling av personuppgifter. Bland dessa principer återfinns bland annat krav på att inte behandla fler uppgifter än vad som behövs för det ändamål man har med behandling, eller att spara dessa under längre tid än nödvändigt.
Myt: Alla personuppgifter måste krypteras
Nej, alla personuppgifter måste inte krypteras. En lämplig säkerhetsnivå, både tekniskt och organisatoriskt, måste dock finnas vid behandling av personuppgifter. Avgörande faktorer för att säkerställa en lämplig säkerhetsnivå på personuppgiftshanteringen är bland annat risken eller riskerna med behandlingen, vilken teknisk möjlighet som finns, kostnader för åtgärden samt vilken typ av personuppgift som behandlas. Exempelvis vore kryptering att föredra för personuppgifter som kategoriseras som känsliga, då dessa anses extra skyddsvärda och kryptering anses minska eventuella risker vid sådan behandling.
Myt: Företag kommer inte längre att få marknadsföra sig annat än mot befintliga kunder
Marknadsföring till potentiella kunder kommer även att kunna ske efter att GDPR trätt ikraft. Den lagliga grunden för marknadsföring till potentiella kunder är samtycke från den potentiella kunden alternativt om berättigat intresse kan anses föreligga. Med berättigat intresse förstås att behandlingen av personuppgiften, i detta fall i syfte för marknadsföring, är nödvändig för företagets berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte anses väga tyngre än företagets marknadsföringsintresse. Det är sedan de enskilda omständigheterna i varje fall som är avgörande för huruvida berättigat intresse kan anses föreligga eller inte. En intresseavvägning behöver därför göras.
Myt: Alla behöver ha ett Dataskyddsombud (DSO)
Det står alla företag och organisationer fritt att anställa ett DSO. Det föreligger dock ett krav för följande verksamheter att anskaffa en DSO: 1) offentliga organ, 2) företag med systematisk och regelbunden personuppgiftsbehandling som kärnverksamhet, samt 3) företag vars kärnverksamhet är att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning. Som exempel på företaget i kategori 2 har Artikel 29-gruppen och Datainspektionen angett banker och försäkringsföretag.
Viktigt att observera är dock att alla företag är ansvariga för att tillse att den personuppgiftsbehandling man har följer gällande krav och regler samt att man har rutiner för att exempelvis ge rätt information till registrerade och bemöta registrerades rättigheter.
Myt: Alla företag måste föra ett register över sin personuppgiftsbehandling
Nej, endast företag och organisationer med över 250 anställda har ett krav på att föra registerförteckning över sin personuppgiftsbehandling. Företag med mindre än 250 anställda är inte skyldiga att föra registerförteckning över sin personuppgiftsbehandling under förutsättning att personuppgiftsbehandlingen inte kommer att medföra en risk för de registrerades rättigheter och friheter, är tillfällig och inte omfattar känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10 GDPR. Att föra en registerförteckning är dock ett utmärkt sätt att kartlägga den personuppgiftsbehandling man har, säkerställa laglig grund för behandlingarna, säkerställa bra rutiner samt kunna påvisa efterlevnad av regelverket.