Blogg// Så påverkas kommunikationsbranschen av GDPR

I nästan 20 år har personuppgiftslagen, PUL, styrt vem som får hantera vilken typ av personuppgifter. I maj nästa år blir det ändring på det, när den nya, strikta dataskyddslagen GDPR träder i kraft. GDPR står för general data protection regulation och reglerar hur information som direkt eller indirekt kan knytas till en person får lov att användas. Lagen innebär stora förändringar för de flesta företag, men kanske särskilt för oss som arbetar med kommunikation och marknadsföring och är i behov av kontaktuppgifter.

Att bryta mot GDPR medför konsekvenser

Syftet med den nya lagstiftningen är att öka EU-medborgarnas integritetsskydd och att skapa en harmonierande lagstiftning över hela unionen. Men det är inte lagstiftningens utformning, utan dess påföljder som blivit föremål för diskussion. Om PUL betraktats som mesig kan detsamma inte sägas om GDPR. Organisationer som bryter mot dataskyddslagen riskerar nämligen böter på upp till 20 miljoner euro eller 4 % av företagets globala omsättning. Det gäller alltså att ha lagen på sin sida för att inte riskera ekonomiska konsekvenser av ett sådant förödande slag.

Se över vilken information du har och varför

Den nya lagen ställer höga krav på transparens kring personuppgifter. Det är viktigt att redan nu se över vilken information ni har och varför ni har den. GDPR höjer kraven på samtycke till att lämna ut kontaktuppgifter och företag måste redovisa vad de ska använda uppgifterna till. Det ska därmed också vara möjligt i vissa fall att tacka nej till att lämna ut personuppgifter. Därmed blir det även enklare att slippa direktreklam, vilket ställer till det för många marknadsförare.Den som ansvarar för dokumentationen, alltså en personuppgiftsansvarig, blir med den nya lagen också en juridisk person som kan åtalas och hållas skyldig för brott. En tumregel är att företag numera inte längre äger information om personer, utan att de lånar den och måste lämna tillbaka den närhelst personen ifråga önskar.

Tidigare kryphål försvinner

Med PUL har man ofta kunnat komma undan lagen tack vare den så kallade missbruksregeln. Det är enligt den undantaget att ha ostrukturerade listor eller personuppgifter i löpande text, så länge uppgifterna inte är kränkande för någon part. Med GDPR kommer denna typ av kryphål försvinna. Dessutom kräver den nya dataskyddslagen att alla former av dataintrång rapporteras om det finns en risk att personuppgifter läcker ut. Därför är det bra att bygga in någon form av skydd för personuppgifter i IT-systemet.

Checklista inför GDPR

• Se till så att samtliga medarbetare som hanterar personuppgifter har koll på GDPR och vad det innebär.
• Identifiera vilka verksamhetsområden som drabbas och gör en plan för hur ni ska hantera förändringarna i den nya lagen.
• Se över vilken typ av kontaktuppgifter ni har och varför.
• Granska rutinerna för hur kontaktuppgifter samlas in. Utvärdera om ni använder er av missbruksregeln idag och hur ni garanterar samtycke för insamlade personuppgifter.
• Utforma beskrivningar som informerar om hur personuppgifter kommer att behandlas och användas vid insamling.
• Ta fram rutiner för att upptäcka, rapportera och utreda fall då personuppgifter läckt ut.
• Utse en personuppgiftsansvarig som har god kunskap om det nya regelverket.
• Bygg in skydd för personuppgifter i era IT-system.