j

skriven av joakim

}

10.07.2021

Vad handlar egentligen GDPR om? Del 1 – ett vanligt missförstånd.

Den här gången skriver jag om ett vanligt missförstånd kring GDPR. Ett missförstånd som jag tror kan ha att göra med gammal lag och de begrepp som vi idag använder lite slarvigt.

Missförståndet är ganska grundläggande för förståelsen av GDPR och vad lagen faktiskt handlar om.

Vissa av er kanske redan gissat vad jag pratar om. Missförståndet som jag pratar om är att GDPR skulle handla om “personuppgiftsregister”. Det gör förordningen inte, förordningen handlar om “behandling av personuppgifter”.

Vad är skillnaden?

Vad är egentligen skillnaden mellan att lagen skulle handla om “behandling av personuppgifter” kontra “register av personuppgifter”? Frågar dig du kanske nu. Svaret är: fokuset skiftar.

Ta till exempel kravet på behandlingslista i artikel 30 av GDPR, som för övrigt ofta brukar kallas för “registerförteckning”.

Hur mycket jag än försöker hittar jag inget som heter registerförteckning i lagen.

GDPR handlar inte om register över huvud taget, ändå har just ordet registerförteckning på något sätt bakat sig in i vårt kollektiva medvetande. Därmed hamnar vi i en situation där vi använder ord som leder oss fel.

Jämför dessa två meningar:
“Vi behandlar personuppgifter.”
“Vi har personuppgifter.”

Den första meningen är aktiv, mening nummer två är passiv. Med ett passivt dataskyddstänkt kommer vi bort från det mest grundläggande som vi behöver ha klart för oss när vi bestämmer oss för att behandla personuppgifter. Dvs att det faktiskt handlar om behandling. Konsekvensen blir att fokus blir kartläggning av förvaring och vilka IT-system som finns i organisationen.

Kill your Darlings

Frågan vi ställer oss när fokuset blir register blir: “Varför har vi den här informationen?” Plötsligt hamnar vi i ett läge där vi får ett intresse av att rättfärdiga informationens existens. Vi har ju ändå redan informationen, det måste finnas en anledning till det eller hur? Behandlingen anpassas efter vilken data som finns.

När till och med verksamt.se skriver att vi ska börja med att lista personuppgifter istället för behandlingar så är det inte konstigt att det blir missförstånd.

Om vi istället ställer oss själva frågorna “vad är mitt jobb?” och “vad behöver jag för att göra mitt jobb?” så skiftar vi fokus från det passiva till det aktiva. De flesta vet ändå vad deras arbetsuppgifter är, och de som jobbar med personuppgifter har förhoppningsvis även en känsla för vilka personuppgifter de behöver när de gör sitt jobb.

Om behandlingen, dvs “det jag jobbar med”, blir fokuset blir det lättare att identifiera exakt vilka uppgifter som behövs för att behandlingen ska kunna genomföras. Behandlingen blir fokus, och personuppgifternas existens inom organisationen motiveras genom att behandlingen blir omöjlig utan dem.

Slutsats

Att inventera sin data, alltså det som oftast rekommenderas som ett första steg vid dataskyddsarbetet, är helt enkelt fel ställe att börja eftersom GDPR inte handlar om register av data, utan om behandling. Istället föreslår jag att det första steget ska vara att identifiera vad vi faktiskt jobbar med. Sen kan vi börja fråga oss själva om vi verkligen behöver allt det vi samlat in.

Drake har fattat

Boka en kostnadsfri juridisk utvärdering.

Relaterade blogginlägg

Borde vi ha ett Dataskyddsombud?

Borde vi ha ett Dataskyddsombud?

Rollen som Dataskyddsombud är lite speciell. Det kortaste sättet att beskriva rollen (som jag kan komma på) är att det är som att vara revisor, fast med GDPR. En längre beskrivning av tjänsten kan...

läs mer

Vilket ansvar hade Coop?

Det har varit mycket nyheter om Coop på sista tiden. Vårt kära kooperativ som säljer maten marginellt dyrare än ICA har nämligen blivit utsatt för en ransomwareattack! Följden har blivit att...

läs mer

Öppna Skolplattformen och GDPR

För någon vecka sen läste jag en artikel i Ny Teknik där det visar sig att Öppna Skolplattformen nu blivit polisanmälda för dataintrång av utbildningsnämnden i Stockholms Stad. För den som inte vet...

läs mer

IMY och klagomål

IMY har ett nytt fokus Den 22 februari 2021, släppte Integritetsskyddsmyndigheten (IMY) sin årsrapport för 2020. I den konstaterar de att de kommer byta fokus när det gäller klagomål. Istället för...

läs mer