Det råder just nu något som närmast kan liknas vid GDPR-hysteri. Jag har själv arbetat mycket med system för behandling av extra känsliga personuppgifter och som regleras genom apoteksdatalagen som i sin tur är en påbyggnad på personuppgiftslagen (PUL). Apoteksdatalagen ger såväl större befogenheter som större ansvar beträffande hantering av personuppgifter jämfört med nuvarande personuppgiftslagstiftning.
Personuppgiftslagen bygger i grund och botten på några enkla principer, och för de organisationer som inte faller inom ramen för mer exotiska undantag kan man sammanfatta kraven man ska leva upp till med följande:
När Dataskyddsförordningen som är det svenska namnet på GDPR införs, den 25:e maj 2018, kommer regelverket att bli mer stringent, men den som har bra koll på PUL i dag kommer att ligga bra till även efter den nya förordningen vinner laga kraft. Min personliga övertygelse är att det stora fokus frågan har fått beror till stor del på att det kommer att kunna kosta stora summor om man inte tar lagen på allvar, och att man fått upp ögonen på att man kanske slarvat lite med PUL.
De förändringar som införs i samband med Dataskyddsförordningen är för de allra flesta organisationer inte några större problem att uppfylla. Grovt kan man sammanfatta de nya kraven till följande:
Om man kunnat lagra personnummer enligt PUL kommer man fortsatt att kunna göra det med den nya Dataskyddsförordningen. Lagen föreskriver att man bara får behandla personnummer utan samtycke när det är motiverat av ändamålet eller är viktigt med säker identifiering – så om du inte lagrar personnummer för skojs skull är det säkert inte svårt att identifiera ett ändamål, eller motivera vikten av säker identifiering.
Finns därutöver ett samtycke är personnummer varken mer eller mindre känsligt än andra personuppgifter, så när det är möjligt är det alltid vettigt att inhämta ett aktivt samtycke.
Det lagen säger är att man ska ”vidta lämpliga tekniska och organisatoriska åtgärder” för att skydda personuppgifter, och att skyddsvärdet beror på risker, kostnader och hur känslig informationen är. Ett kundregister som lagras i en databas i ett privat nätverk och som kräver inloggning uppfyller med största sannolikhet tekniska förutsättningar. Här ska man nog snarare fundera på om man har vidtagit tillräckliga organisatoriska åtgärder. Hur gör vi t.ex. med användarkonton när folk slutar?
De allra flesta register med personuppgifter har ett högt värde för den egna organisationen – något man ogärna skulle vilja komma t.ex. konkurrenter till del, eller råka förstöra på grund av teknikstrul. En bra tumregel är att om man tänker rent egoistiskt på hur man behöver skydda personuppgiftsinformationen kommer detta skydd att vara tillräckligt även för att uppfylla den nya förordningen.
Dataskyddsförordningen är liktydig inom hela EU (PUL är inte en förordning, utan baserat på ett direktiv som är implementerat i nationell lagstiftning, men PUL anses likväl också harmoniserad inom hela unionen). Om behandlingen är tillåten i Sverige är den också tillåten i andra EU-länder. Undantaget är dock sådana uppgifter som omfattas av rikets säkerhet.
Den högsta sanktionsavgift som kan komma att utdömas är mycket riktigt 20 miljoner euro, eller upp till 4% av bolagets omsättning (det högsta av de två). Avgiften ska dock bedömas utifrån flera kriterier: Hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen. Den som inte varit uppenbart försumlig eller medvetet brutit mot lagen för att tjäna pengar kommer därför knappast riskera att komma i närheten av de maximala sanktionsavgifterna. Redan idag kan man, om man bryter mot PUL, dömas till fängelse, men mig veterligen har ett sådant hårt straff inte hittills utdömts.
Samtycke krävs inte för behandling av personuppgifter som behövs för att fullfölja ett ingånget avtal. Vill man däremot använda personuppgifterna till andra ändamål – t.ex. för marknadsföring, eller för att sälja vidare till tredje part – behövs samtycke, precis som är fallet med PUL i dag. Samtycke är heller inte särskilt svårt eller konstigt att inhämta. Om man erbjuder medlemskap i en kundklubb till exempel, är det ganska naturligt att man informerar om hur personuppgifterna kommer att användas, och att man med sin underskrift bekräftar att man tagit del av, och samtyckt till, denna behandling.
Dataskyddsförordningen, precis som PUL, behandlar alla uppgifter som kan härledas till en viss individ som personuppgifter. Detta innefattar kundnummer, IP-adresser och så vidare. Samma förutsättningar gäller behandlingen av dessa uppgifter, så vill man verkligen kasta pengarna i sjön ska man införa en massa mellanliggande obskyrifierande ID-begrepp.
Samtycke styr bara vilka personuppgifter man fått samtycke att behandla och enligt vilka ändamål. Man måste fortfarande hantera dessa personuppgifter på adekvat sätt. Detta innebär t.ex. att man inte får spara onödigt mycket uppgifter, att man behöver gallra informationen när man inte längre behöver den, att man måste lagra och behandla informationen på ett sätt som är tillräckligt säkert från obehörig åtkomst och så vidare.