Men det är inte bara krav. Det finns både fördelar och möjligheter som öppnas när man tittar närmare på GDPR och det är inte så komplext som många fruktar. Det viktiga är dock att komma igång nu, börja i rätt ände och ta små steg åt gången. 

Vi lånar bara ut våra personuppgifter till dem som vill använda dem.

En målsättning med GDPR är att skapa ett juridiskt tydligt och gemensamt integritetsskydd för alla individer inom EU. Oavsett i vilket land man befinner sig. Mycket förenklat så ska vi som individer kunna veta vilken information som finns lagrad om oss, hur den hanteras och även kunna säga nej till hur personuppgifterna används. Vi lånar bara ut våra personuppgifter till dem som vill använda dem. En ytterligare möjlighet för individen är att faktiskt kunna få sina uppgifter bortplockade från en sökmotor om man så vill. I det senare krävs dock att uppgifterna är oriktiga, irrelevanta eller överflödiga, hur man nu kommer att bedöma det.  

 

Förändringarna inte så stora

 

För europeiska företag, organisationer och andra som hanterar personuppgifter blir förändringarna lite större. För oss i Sverige som levt med PUL under cirka 20 år innebär det mer en uppgradering och skärpning av regler vi redan har. Hos IT-konsulter och jurister går dock telefonerna varma och många vill ha svar på hur de går vidare för att tillgodose kraven i GDPR. Robert Willborg är expert inom Cyber Security på konsultbolaget Sogeti och får många frågor.

– Några har efterfrågat snabblösningar, ungefär som en app eller plug-in men det handlar mer om att förändra processer. I betydligt mindre utsträckning om tekniska lösningar, säger Robert.

De kan förenklas och effektiviseras i förhållande till vad de är ämnade för.

Han trycker på betydelsen av att i första hand börja i rätt ände och kartlägga hur man idag hanterar personuppgifter. Att göra en konsekvensanalys av vad de nya reglerna medför. I många fall leder detta till insikten att register med personuppgifter kan skrotas, i andra fall till att de kan förenklas och effektiviseras i förhållande till vad de är ämnade för.

– Koka ner arbetet till i princip tre huvudpunkter: börja med kartläggning av processerna, hur personuppgifter tas in, används och hanteras idag samt hur processerna behöver justeras. Därefter se vilka tekniska uppgraderingar som krävs. Slutligen se hur detta kan påverka och utveckla verksamheten, säger Robert.

 

Böter och straff

 

Många, inte minst mindre organisationer som kanske drivs ideellt eller med små resurser, är oroliga för om de ska klara de krav som ställs och om de ska hinna styra upp allt till 25 maj 2018. Enligt förordningen kan ju stora bötesbelopp bli aktuella för dem som inte hanterar personuppgifterna på rätt sätt.

Jag tror faktiskt man ska avdramatisera GDPR ganska mycket.

– Jag tror faktiskt man ska avdramatisera GDPR ganska mycket. Det handlar inte om så väldigt stora förändringar för oss i Sverige. Det finns inga prejudicerande domar att luta sig mot om någon inte uppfyller kraven och det viktigaste är att intentionerna och arbetssättet finns på plats till 25 maj, avslutar Robert.

Det vi som individer kan se fram mot när GDPR väl är på plats är att vi får ett bättre skydd mot hur våra personuppgifter faktiskt används. Att vi ”äger” våra uppgifter och kan styra användningen i högre utsträckning. Det blir svårare för dem som har tillgång till personuppgifter att hantera dem ovarsamt, använda dem för annat än det vi sagt okej till eller att sprida dem medvetet eller genom oaktsamhet. Bara en så enkel sak som att vi kan välja vilken direktreklam vi vill få kan för många ses som ett stort steg i rätt riktning.