5 missförstånd kring GDPR

Då 25 maj närmar sig är många företag fullt fokuserade på att se till att klara GDPR:s krav. Med detta höjs stressnivån och missförstånden ökar. Nedan har vi listat några av de missförstånd som sprids och som våra jurister ofta får räta ut.

Läs mer om personuppgiftsbiträdesavtal

Missförstånd 1: Den 25 maj blir allt olagligt!

Det mest förekommande missförståndet är att den 25 maj markerar dagen då mycket blir olagligt. Men detta stämmer inte, i många fall handlar det om lagar och regler som har gällt i flera år. PUL och GDPR är lika i 80-90 procent av fallen. Dock är det från och 25 maj som företag kan bli bötfällda.

Missförstånd 2: Allt måste krypteras!

En myt som sprids är att allt numera måste krypteras för att följa GDPR. Faktum är att GDPR inte ställer några krav på att all data måste krypteras, däremot handlar det om innehållet. Vad gäller kryptering av känsligt data är det något som har funnits väldigt länge och knappast kommer som en chock för it-experter.

Missförstånd 3: Rätten att bli glömd är absolut!

Ett annat vanligt missförstånd är att vem som helst kan kräva att bli bortglömd, det vill säga kräva att alla uppgifter ska raderas. Detta är inget nytt och har även funnits under PUL. Rätten att bli glömd gäller dock enbart i vissa specifika fall.

Om företaget har skött sig väl och gjort allt det ska i enlighet med lagen är det bara i vissa fall rätten aktualiseras, exempelvis för marknadsförings- eller sociala medie-företag.

Många ställer frågan om anställda på ett företag kan begära att bli borttagna från företagets HR-system. Det är ingen absolut rätt och många gånger lägger sig andra lagar högre upp än GDPR, såsom i anställningsförhållanden och bokföringsändamål.

Missförstånd 4: Alla företag måste utse ett dataskyddsombud!

Att alla företag måste utse ett dataskyddsombud är ett missförstånd. Det beror på vilken typ av verksamhet företaget driver. För att utse ett dataskyddsombud krävs det att företagets kärnverksamhet bygger på personuppgiftsbehandling, att företaget ägnar sig systematiskt åt behandling eller innehar en stor mängd känsliga data. Detta innebär t.ex. att medtechbolag omfattas, men inte nödvändigtvis en vanlig it-konsult.

Missförstånd 5: Man behöver samla in samtycke på allt!

Självklart behövs en laglig grund för personuppgiftsbehandling, men samtycke är enbart en av flera grunder och kan snarare ses som ett undantag. När man handlar något på nätet måste ens personuppgifter behandlas för att avtalet skall fullgöras. Och när det gäller marknadsföring så rör det sig om intresseavvägning.

Skriv personuppgiftsbiträdesavtal

Tänk på att ni behöver upprätta ett personuppgiftsbiträdesavtal om ni samarbetar med ett företag som behandlar personuppgifter för er räkning. Det kan exempelvis vara ett företag som har hand om era löner, redovisning eller delar av er marknadsföring. Ni kan inte delegera ansvaret till personuppgiftsbiträdet, men med ett avtal säkerställer ni att ni är överens om alla villkor för behandlingen. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns på plats.


Läs mer och skriv personuppgiftsbiträdesavtal