GDPR handlar om att värna den personliga integriteten. Risken för böter har varit en drivkraft som har givit ett fokus på personuppgifter och fått hela samhället i gungning på ett sätt som vi knappt har sett sedan millenniumskiftet. GDPR-experter är hårdvaluta och företag investerar tid och pengar i hopp om att uppfylla det nya regelverk som gäller från idag. Klarar vi oss? Har vi gjort rätt? Vad har vi missat? Och om sanningen ska fram så är det ingen som riktigt vet. För nu när 25 maj har inträffat så är det inte check på GDPR. GDPR är och förblir en process.

Men även om en hel del återstår så finns det mycket som är glasklart kring GDPR. Vi måste veta varför och informera om hur företaget behandlar personuppgifter. Sedan kommer en av de större svårigheterna. Hur länge får dessa uppgifter sparas? För att gallringsregler, när uppgifter ska plockas bort, ska kunna hanteras krävs att systemen är på banan. Få företag har bara ett register med personuppgifter. Där finns också ett tydligt krav, finns information om en registrerad så finns även rättigheten att få ut de uppgifterna. Omfattning och nivå på registerutdrag är inte helt enkelt, något som säkerligen kommer att utkristalliseras när lösningar börjar bli tillgängliga. För mystiken kring GDPR har inte bara innefattat delar av tolkningen. För att inte blotta sin GDPR-status har det också funnits en viss förtegenhet kring hur företagen löser sin GDPR-hantering. Att det har funnits en tydlig osäkerhet i vad som är korrekt hantering avspeglar sig i att det kommer rapportering på rapportering om att företagen ligger efter i GDPR-arbetet.

Det finns en uppenbar del av GDPR som företagen har tagit till sig, skyldigheten att informera om förekomst i ett register. Den ström av mejl där företag informerar om dina rättigheter som registrerad dominerades initialt av en stramt formellt ton, men ju mer vi närmade oss den 25 maj, desto mer ändrades tonen. De mejl som kom senast har nästintill en urskuldande ansats, ”ursäkta, vi måste informera dig”. För vem har egentligen läst, tagit ställning och aktivt sorterat alla dessa informationsmejl. Men företagen har läst på. Det finns enligt GDPR en skyldighet och den efterföljs.

Det man lätt glömmer bort i hela GDPR-frågan är att det här egentligen inte är ett nytt regelverk. Mycket av det som faktiskt uppdagas som problematiskt för företagen i personuppgiftsbehandling har funnits reglerat sedan tidigare i personuppgiftslagen och i Datainspektionens rekommendationer. Det har inte varit ok att hantera personuppgifter lättvindigt innan den 25 maj heller. Även om många givetvis har hanterat persondata på ett mycket bra sätt så har det inte varit förknippat med de risker för böter som nu är uppenbara. Vilket gör att även de mest bokstavstrogna personuppgiftslagsföretagen har satt sin behandling under lupp. Och det är lätt att tro att persondata bara handlar om hantering i it-systemet. Men GDPR innefattar all hantering och den missbruksregel som vi i Sverige har förlitat oss på upphävs, vilket ställer större krav på företagen. Dagen innan GDPR-dagen om vi kan kalla den så lanserar Datainspektionen sin nya webbplats. Tidigare hänvisningar, rekommendationer och ställningstaganden som är kopplade till personuppgiftslagen är inte tillgängliga. Vi börjar om. Det gäller även de företag som verkligen har efterlevt personuppgiftslagen, men de har haft ett väldigt stort försprång eftersom de tar ett omtag om personuppgiftsbehandlingen jämfört med de företag som inte har samma kontroll.

Tillbaka till den stora drivkraften, risken för böter. Och även det kan ses som en process. Datainspektionen kommer inte att stänga ner företag för att inte ”allt kring GDPR” finns på plats. Om man inte följer reglerna blir det en varning, sedan en reprimand, därefter en indragen rätt att behandla personuppgifter. Som sista utväg, om företagen inte har rättat upp sin behandling, då kan det bli tal om böter. Så att drivkraften för GDPR är böter, det är en sak. Tillbaka till orsaken varför GDPR har tillkommit. Det är för att värna den personliga integriteten. Och för att kunna göra det så måste det finns kontroll av varför, var och hur personuppgifter behandlas. Det är GDPR.