GDPR – Nu börjar det verkliga arbetet

Många är de företag, organisationer och myndigheter som de sista månaderna kämpat med det viktiga arbetet att få i ordning inventering av de personuppgifter som behandlas, olika typer av policydokument och biträdesavtal för att anpassa sig till den nya dataskyddsförordningen (GDPR) som ju som bekant träder i kraft nu på fredag (den 25 maj 2018). Det är dock lika viktigt att framåtblickande ha en plan för hur verksamheten löpande ska hantera sitt ansvar enligt GDPR. I denna artikel beskriver advokaterna Daniel Tornberg och Alexander Jute på Advokatfirman Marlaw vad som är viktigt att hålla koll på framöver för att undvika att komma i konflikt med dataskyddsförordningen.

Tillsyn och praxis

Som de flesta förstått råder en hel del oklarheter i hur förordningen ska tillämpas praktiskt i olika typer av situationer. Vissa frågor kräver helt enkelt vägledning från tillsynsmyndigheten Datainspektionen (som önskar att byta namn till Dataskyddsmyndigheten), nationella tillsynsmyndigheter i de olika medlemsstaterna eller den europeiska datatillsynsmannen. Därutöver lär en hel del frågor inte få något närmare svar innan de prövats av domstol. Det blir således viktigt att följa rättsutvecklingen på området för att kunna bedöma om de egna bedömningar som verksamheten gjort håller eller måste justeras.

Grundarbetet

Det lär alltså dröja innan alla frågor blir belysta. Till dess bör verksamheten koncentrera sig på det grundläggande arbete som tydligt kan utläsas av förordningen. Ett sådant arbete är den grundläggande inventeringen av vilka personuppgifter som verksamheten behandlar. Denna ska dokumenteras i en förteckning som beskriver vilka uppgifter som behandlas samt de olika sätt som man hanterar personuppgifter på och med vilket lagligt stöd som behandlingen baseras på.

Nästa område som bör ses över är verksamhetens personuppgiftspolicy (både extern och intern). De behövs normalt sett uppdateras och kommuniceras med kunder och samarbetspartners respektive den egna personalen. I vissa fall kan det också krävas att nya samtycken samlas in och dokumenteras. Till grundarbetet tillhör också att gå igenom och identifiera vilka parter som behandlar personuppgifter åt verksamheten eller om verksamheten själv behandlar personuppgifter åt andra. I dessa fall ställer förordningen krav på att skriftliga personuppgiftsbiträdesavtal upprättas.

Det framtida arbetet

När man kommit så långt krävs emellertid också att verksamheten faktiskt också börjar arbeta med ett nytt förhållningssätt till personuppgiftshantering. De upprättade policydokumenten ska ju inte bara följas utan verksamheten måste löpande följa upp att det faktiskt görs och justeras efter hand. Därför krävs att uppföljningsrutiner införs så att verksamheten med återkommande mellanrum stämmer av att både personuppgiftsförteckningen, policydokumenten och förekommande biträdesavtalen är aktuella. I annat fall ska dessa uppdateras – även med beaktande av klargöranden eller förändringar i rättstillämpningen.

Det framtida GDPR arbetet kommer därför från och med nu behöva löpa som en central del av verksamhetens regelefterlevnadsrutiner – och det arbetet börjar nu.

Daniel Tornberg
Alexander Jute