Håll koll på och ha en överblick över vad det är du behandlar, säger advokat Conny Larsson, expert på IT-lagstiftning.
Har du ordning och reda på de personuppgifter du hanterar i de system du ansvarar för? Det tyska fastighetsbolaget Deutsche Wohnen hade det inte och blev därmed en de första som fick en kännbar sanktionsavgift. Hela 14,5 miljoner euro. Vad hade de gjort? Jo, sparat data lite för länge.
Tänk dig att Trafikverket en natt har varit ute och skruvat ner alla hastighetsskyltar i vårt land. Nu står det inte längre 30, 50, 80 eller 100 på skyltarna. Nu står det ”håll lämplig hastighet”. Hur fort får du nu köra?
Det är lite så här som GDPR fungerar om vi får tro Conny Larsson. Conny är jurist och advokat, expert på IT-lagstiftning med 25 års erfarenhet av IT-rättsliga frågor. Han har varit sakkunnig och den som hjälpt Real Fastighetssystem med alla GDPR-frågor gällande avtalstexter och anpassning till den nya lagen.
Många minns 25 maj 2018
Jag tror de flesta företagare minns den 25 maj 2018 eller rättare sagt tiden inför just detta datum då GDPR-lagstiftningen skulle börja gälla. Vi var många som våndades och försökte förstå.
Många timmar och en hel del pengar offrades för att undvika de vansinnigt höga sanktionsavgifter som hotade att drabba oss om vi inte lyckades med de högt ställda kraven.
Ha koll och överblick
Men – vad hände sedan? Ja, inte så mycket. Fortfarande vet vi inte vad ”lämplig säkerhetsnivå” eller att inte ”spara längre än nödvändigt” betyder. Conny Larssons tips är ändå att du håller koll på och har en överblick över vad det är du behandlar.
Ett register eller förteckning samt att du vet var all data finns. Du ska enkelt kunna leverera ett registerutdrag på en sådan begäran.
Dokumentera och ge argument
Dokumentera och ge argument för de behov du har att exempelvis spara viss data. Ha en klar anledning.
Enligt Conny Larsson så ska ”så få som möjligt, ha tillgång till så lite som möjligt om så få som möjligt, under så kort tid som möjligt”. Följer du den principen så bör du ligga bra till om Datainspektionen skulle knacka på dörren en dag.
14,5 miljoner euro i böter
Det finns stora anledningar att hålla sig till detta då det faktiskt finns de som råkat ut för stora sanktioner. Bland andra gäller det Deutsche Wohnen, ett tyskt fastighetsbolag som slarvat med att göra sig av med inaktuell data.
De fick betala 14,5 miljoner euro. Så du som exempelvis behåller personuppgifter på utflyttade hyresgäster, se till att du har på fötterna och kan argumentera varför.
Bara nödvändig data
Hur kan du då vara säker på att du gjort tillräckligt för att anpassa dig. Ja, utöver Conny Larssons grundprincip här ovan så ska du bara hantera ”nödvändig” data. Undvik definitivt politisk eller religiös tillhörighet, sexualitet, biometri (fingeravtryck, ansiktsigenkänning e t c), etnicitet och data kring hälso- och sjukvård.
Tänk också på att vanligen helt okänslig data, såsom namn, telefonnummer och adress, kan vara särskilt skyddsvärt om personen ifråga lever under hot och därmed har skyddad identitet. Använd inte heller samtycke som laglig grund då det kan återkallas.
Gymnasieskola dömd
När det gäller biometri och ansiktsigenkänning så har en gymnasieskola i Skellefteå drabbats av en sanktionsavgift på 200 000 kr då man använt kameraövervakning med ansiktsigenkänning för att, på prov, bevaka elevernas närvaro.
Biometriska uppgifter räknas som särskilt skyddsvärda som kräver uttryckliga undantag för att få hantera. I det fallet gällde heller inte samtycke från eleverna eftersom man bedömer att de befunnit sig i beroendeställning.
Tänk också på att du gör alla bedömningar på egen risk då vi till största del saknar praxis.Björn Reimers
Real Fastighetssystem
