GDPR: Bara början!

Många pra­tar om den nya tuf­fa per­son­upp­gifts­re­gle­ring­en – Gene­ral Data Pro­tec­tion Regu­la­tion (GDPR). En ny regle­ring som direkt påver­kar alla orga­ni­sa­tio­ners pro­ces­ser och kom­mu­ni­ka­tion. Sam­ti­digt är det­ta bara ett av många steg mot EUs mål om en ”digi­tal sing­le mar­ket”.

Nu är det hög tid att anpas­sa sin orga­ni­sa­tion inför kom­man­de reform och för­stå att det­ta bara är bör­jan mot en ny tid för digi­tal marknadsföring.

Lika för alla på en digital marknad

Den digi­ta­la utveck­ling­en för­änd­rar möj­lig­he­ter­na för grän­sö­ver­skri­dan­de han­del inom EU. Stra­te­gin för den digi­ta­la inre mark­na­den är att mins­ka han­dels­hin­der och öka möj­lig­he­ter för pri­vat­per­so­ner och före­tag att säkert och till en rim­lig kost­nad bedri­va han­del, utveck­la nya pro­duk­ter och interagera.

EU har där­för bland annat infört nya roa­mingreg­ler som inne­bär att man kan använ­da tele­fo­nen i annat EU-land utan att beta­la någ­ra extra avgif­ter. Vida­re för­stärks kon­su­ment­skyd­det och skydd för den per­son­li­ga integri­te­ten på fle­ra områden.

Inte bara av godo

Allt det­ta är givet­vis väl­kom­nan­de för­änd­ring­ar för både kon­su­men­ter och före­tag. Sam­ti­digt inne­bär för­sla­gen syn­ner­li­gen långt­gå­en­de tvångs­me­del som kon­su­ment­skydds­myn­dig­he­ter­na ska kun­na tillämpa.

Myn­dig­he­ter­na föreslås exem­pel­vis att få befo­gen­het att stänga en webb­plats eller domän, kun­na begä­ra ut detal­je­rad infor­ma­tion, utfö­ra inspek­tio­ner likt gry­nings­rä­der och köpa in varor under täck­man­tel. För­änd­ring­ar­na krä­ver efter­lev­nad från svens­ka före­tag och orga­ni­sa­tio­ner. Ett omfat­tan­de för­be­re­del­se- och för­änd­rings­ar­be­te för alla som job­bar med digi­tal mark­nads­fö­ring är där­för nödvändigt.

Hårdare krav kräver omställning

Den störs­ta refor­men i stra­te­gin för en ”digi­tal sing­le mar­ket” är EU:s nya data­skydds­för­ord­ning Gene­ral Data Pro­tec­tion Regu­la­tion (GDPR) som bör­jar tilläm­pas den 25:e maj 2018.

För­ord­ning­en inne­hål­ler betyd­ligt hår­da­re krav på han­te­ring av per­son­upp­gif­ter och stäl­ler nya krav på nya ruti­ner och pro­ces­ser för säker han­te­ring av regis­ter samt krav på ansva­rig ledningsnivå.

Läs mer om de hår­da­re kra­ven för per­son­upp­gif­ter i mark­nads­fö­ring inne­bär i arti­keln Hår­da­re krav för per­son­upp­gif­ter i mark­nads­fö­ring.

Skyldighet att visa på efterlevnad

Ett av de områ­den där regle­ring­en skärps i för­hål­lan­de till befint­lig per­son­upp­giftslag, är den så kal­la­de ansvars­skyl­dig­he­ten, vil­ken med­för skyl­dig­het för orga­ni­sa­tio­nen med per­son­upp­gifts­an­svar att kun­na visa att data­skydds­för­ord­ning­en efterlevs.

För att kun­na efter­le­va den­na doku­men­ta­tions­skyl­dig­het krävs ett bety­dan­de för­be­re­del­se­ar­be­te. För­be­re­del­se­ar­be­tet ska inne­hål­la föl­jan­de steg:

• Inven­te­ring: En inven­te­ring av vil­ka per­son­upp­gif­ter som orga­ni­sa­tio­nen behand­lar. Inven­te­ring­en kom­mer att krä­va inter­na resur­ser för att utre­da vil­ka per­son­upp­gif­ter som fak­tiskt finns i orga­ni­sa­tio­nens alla delar. Van­ligt är att upp­gif­ter om kon­takt­per­so­ner till exem­pel­vis pro­spekts finns utspritt mel­lan CRM-system, and­ra lis­tor och enskil­da med­ar­be­ta­res Out­look-map­par eller i skrivbordslådor.
• Kate­go­ri­se­ring: Per­son­upp­gif­ter­na ska kate­go­ri­se­ras uti­från hur per­son­upp­gifts­be­hand­ling­en ser ut. Kate­go­ri­er kan exem­pel­vis bestå av per­son­upp­gif­ter avse­en­de anställ­da, tidi­ga­re anställ­da, inhyr­da kon­sul­ter, sam­ar­bets­part­ners, leve­ran­tö­rer osv.
• Kart­lägg­ning: Inven­te­ring och kate­go­ri­se­ring av per­son­upp­gif­ter­na ska även syf­ta till att kart­läg­ga oklar­he­ter och poten­ti­el­la pro­blem­om­rå­den samt iden­ti­fi­e­ra beho­vet av till exem­pel per­son­upp­gifts­bi­trä­des­av­tal och att upp­da­te­ra infor­ma­tions- och samtyckestexter.

Ställ om för ”digital singel market”

Att kart­läg­ga före­ta­gets lega­la regel­ef­ter­lev­nad, ska­pa ruti­ner, doku­men­ta­tion och tyd­li­ga poli­cys kom­mer att vara grund­läg­gan­de för att kun­na föl­ja de nya EU-regel­ver­ken som stäl­ler nya hår­da­re krav på de svens­ka aktörerna.

Vi kan inte läng­re för­sva­ra oss med vår tra­di­tion av en långt­gå­en­de ytt­ran­de­fri­het eller tro att det hela bör kun­na lösas över en kopp kaf­fe med argu­ment som att ”alla and­ra gör ju övertramp och ingen­ting hän­der så var­för ska vi age­ra annorlunda?”

Det är nya tider nu. Det är tid för seri­ö­sa före­tag och and­ra aktö­rer att bli ”com­pli­ent” på riktigt.