GDPR kräver en genomgripande kulturförändring i företag
GDPR är inte bara ett nytt regelverk som ska appliceras på i övrigt oförändrade organisationer. Det är en genomgripande kulturförändring som behövs, säger Susanne Kindblad, VD på K-mit.
Genom införandet av GDPR höjs skyddsnivån när det gäller personuppgifter jämfört med den gamla Personuppgiftslagen. Alla företag, organisationer, föreningar och stiftelser måste leva upp till det nya regelverket, annars riskerar man höga bötesbelopp eller skadestånd. Men framför allt är det synen på personuppgifter som behöver ändras.
Människor har rätt till sina personuppgifter. Om ett företag får en persons uppgifter anförtrodda åt sig har företaget ansvar för att behandla uppgifterna schysst.
Till exempel är det inte längre tillåtet att:
- spara personuppgifter längre tid än nödvändigt för att ”de kan vara bra att ha”. När utskicket är gjort/kampanjen är genomförd/kursen är avslutad ska personuppgifterna rensas bort. Punkt.
- använda personuppgifter till fler syften än vad man har fått tillåtelse till. Förr kunde man anta att ”om personen var intresserad av erbjudande A så är hen säkert intresserad av erbjudande B också”. Det är slut med sånt nu.
- spara mer data om personer än vad som är nödvändigt för just det specifika syfte som angavs när personuppgifterna samlades in. En ny bedömning måste alltså göras varje gång persondata hanteras.
- spara uppgifter om personer som inte vet om det. Det måste finnas en rättslig grund för hanteringen, t.ex. ett avtal eller ett aktivt samtycke eller en intresseavvägning som motiverar hanteringen av personuppgifter. Var transparent och avstå från att hantera personuppgifter där den rättsliga grunden inte är klarlagd.
Och så måste företagen vara rädda om de uppgifter som man har fått sig anförtrodda. Om uppgifterna delas med en tredje part, kanske en IT-leverantör eller en konferensanläggning, ska det finnas ett personuppgiftsbiträdesavtal.
Det är här kulturförändringen kommer in
Hela företaget/organisationen måste förstå hur viktigt det är att börja implementera ett ”GDPR-tänk” i arbetsrutinerna. Företagen riskerar inte bara stora bötesbelopp ifall regelverket inte efterlevs, utan man riskerar sitt anseende och rykte. Med största sannolikhet kommer statusen på GDPR-arbetet att påverka hur företagen värderas framöver.
Få med dig hela organisationen i GDPR-arbetet! Det är den enda möjligheten för större företag och organisationer att leva upp till GDPR-regelverket.
Det fungerar inte att lägga ansvaret för GDPR-arbetet på IT-avdelningen, eller ens den juridiska avdelningen ifall en sådan finns. Alla på företaget måste involveras i GDPR-arbetet och det måste börja med styrelsen och den högsta ledningen. Påbörja kulturförändringen idag.