Dagen G (25 maj 2018) som i GDPR: Motivera eller radera

Har du drabbats av GDPR-panik eller är du invaggad i falsk säkerhet? Den 25 maj 2018 träder EU:s nya dataskyddsregler i kraft och det berör alla företag oavsett bransch. Det är nu du ska motivera eller radera.

Ingen kan ha undgått att läsa om GDPR. Snarare är det så att en lavin av mejl med uppmaningar om att godkänna nya villkor och policies dränker våra inboxar. För att inte tala om alla artiklar som skrivs där experter om vartannat lugnar eller sprider panik.

Alla företag i bokbranschen (och alla andra branscher) berörs av GDPR. Men varje företag har helt olika utmaningar och det går inte att ge något generellt svar på exakt hur just ditt förlag, din bokhandel, ditt bibliotek eller du som författare behöver agera för att leva upp till GDPR-kraven.

Så låt oss först börja med kontrollfrågan: Är du klar med GDPR-arbetet?

JA: Tänk om. Ingen blir någonsin klar med GDPR, det är en pågående process att hela tiden leva upp till förordningen. Så fort du byter ut en leverantör måste du säkerställa att ni har rätt avtal mellan er och att information uppdateras i din dokumentation, i användarvillkor, på hemsidor etc. Så om du är ”klar med GDPR” så har du sannolikt kommit så långt du kan i GDPR-arbetet som det går just nu. Om du inte missat något?

NEJ: Bra med självinsikt. Om du svarar nej för att du inte ens har börjat eller tror att GDPR inte berör dig och ditt företag är det bara att tänka om. I princip kommer inget företag undan den nya dataskyddsförordningen.

Det finns ingen brist på information om GDPR. Det som saknas är snarast avgränsad och tydlig information och mallar för att exempelvis skapa integritetspolicy och cookie policy till din webbsida. Och inte minst mallar för de olika avtal som krävs mellan företag som utbyter personuppgifter på olika sätt. Det kan vara alltifrån att ditt bokföringsprogram eller CRM-verktyg innehåller kundregister till att du anlitar en underleverantör för att exempelvis hantera ett medlemsregister till en kundklubb.

Verksamt.se har i alla fall en bra guide som ett enkelt första självtest. Gör den för att kolla om du har tänkt på allt.

Jag har själv varit och lyssnat på en handfull GDPR-föredrag det senaste året och läst ännu fler artiklar i ämnet. Det som slår mig är att ingen vet. Vid samtliga föredrag ställer åhörarna frågor som föredragshållarna inte kan svara på. I vissa fall blir svaret att ”det vet vi först om ett par år när de första domarna kommit, när någon överklagar hela vägen upp till EU-nivå. Det är då vi vet hur lagen ska tolkas.”

Det är när man hör sådana svar som hopplösheten drabbar inte minst småföretagare. En del väljer då att anlita konsulter – exempelvis advokatfirmor, revisionsbyråer och olika typer av IT-experter. Allt för att ta fram processer, riskanalyser och policydokument.

Enligt Intrum ska den totala kostnaden för att införa den nya dataskyddsförordningen GDPR uppgå till runt 2 000 miljarder kronor, eller 198 miljarder euro, för företag i EU, skriver Dagens Industri. Omställningskostnaden för varje svenskt företag beräknas bli drygt 140 000 kronor, nästan dubbelt så mycket som EU-snittet för bolag med färre än 250 anställda.

De företag jag talat med som har anlitat advokater och/eller IT-konsulter har betalat mellan 40 000 och 100 000 kronor – utöver sin egen tid som i många fall kan uppgå till lika mycket. De flesta av dessa säljer via nätet till privatpersoner eller har företagskunder som i sin tur hanterar personuppgifter.

Men det finns även pragmatiska experter som säger att det egentligen inte är någon skillnad jämfört med vad som egentligen gällt hela tiden, sådant som regleras i PUL och andra lagar för hantering av personlig data. Den enda skillnaden är att Datainspektionen nu har fått muskler att straffa dem som bryter mot reglerna.

Varje företag behöver göra en egen risk- och konsekvensanalys och därifrån bestämma vad som är rätt nivå för deras verksamhet. Hur mycket personuppgifter hanterar man och hur känsliga är de? Sedan gäller det att vara helt öppen mot kunderna med exakt vilka uppgifter man samlar in. Det måste finnas ett ändamål och syfte.

GDPR med tre ord: motivera eller radera.

Ställ dig frågan om du verkligen behöver en viss personuppgift eller om det bara är en ”ja, men det kan väl vara bra att ha i framtiden kanske”. Om du har en epostlista för att skicka ut nyhetsbrev – vad behöver du verkligen utöver själva epostadressen? Namn kan kännas bra och skulle kunna motiveras med att det är enklare att identifiera någon när de hör av sig, men i de flesta fall behöver man faktiskt inte det.

Därifrån kan man gå vidare och ställa sig frågan om adresser, telefonnummer, företagsnamn och andra uppgifter som i vissa fall samlas in för nyhetsbrev verkligen är motiverat. Samtidigt som du exempelvis skulle kunna be prenumeranter att fylla i en intresseprofil och motivera det med att du kan skräddarsy innehållet så att den som hatar deckare slipper få information om den genren.

Ett annat råd som flera experter fört fram är att försöka se GDPR som ett informationssäkerhetsprojekt, som en möjlighet. Lite som att besiktiga bilen eller för att gå till bokbranschen. Som författare är det inte alltid roligt att behöva skriva om sitt ”färdiga” manus flera gånger efter synpunkter från förläggare, redaktörer och korrekturläsare. Men efter att jobbet är gjort kan man nästan alltid konstatera att det blev bättre. Motivera eller radera är något som författare också känner till från redigeringsarbetet.

Företag tvingas fundera över vilka cookies som lagras på besökarnas datorer och hur det egentligen ser ut med backuper och skydd mot intrång på era servrar. Hur hanterar ni anställningsavtal och avtal med författare?

En vanlig fråga från förlag är exempelvis: Vad gäller för författarporträtt på hemsidan, måste jag ha medgivande av författarna för att publicera dem där? Svaret är ja. Men det är ju ofta något som ligger i författarens intresse för att marknadsföra sin bok.

Inom bokbranschen är det sannolikt inte så många företag som hanterar känsliga personuppgifter till skillnad från exempelvis dem som ägnar sig åt vård eller ekonomisk rådgivning av olika slag. Men det är värt att tänka på att det finns krav på att inte skicka viss typ av information oskyddad via mejl, som exempelvis lönespecifikationer.

Det som kan hamna i gråzonen är förstås prospektlistor där det blir en tydlig kollision mellan två intressen: samtycke vs ändamål. Där ska man tänka på att B2C är betydligt känsligare än B2B.

Så den 25 maj 2018 är det dagen G då GDPR träder i kraft på allvar. Så vad händer nu? Delas de första miljardböterna ut nästa vecka?

– Jag får känslan av att Datainspektionen kommer fortsätta ta en proaktiv roll med bra stöd och råd och det är bra. Man kan tänka sig att de i första hand kommer att agera mot stora organisationer som underlåtit att försöka anpassa sig, säger David Frydlinger, advokat på advokatfirman Lindahl till Computer Sweden.

Vill du läsa mer om GDPR så är det en god idé att börja på Datainspektionens hemsida.