Många företag har fullt fokus på att klara GDPR:s krav till den 25 maj. Men pressen att bli klar skapar också stress och den blir inte mindre av att det florerar många missförstånd kring vad som faktiskt gäller, det konstaterar ett antal experter som CS talat med.

– Jag upplever att väldigt mycket oro och stress grundar sig i missuppfattningar, saker man hört någonstans. Det går inte en dag utan att jag rätar ut sådana saker med mina kunder, säger David Frydlinger, advokat på advokatfirman Lindahl.

Här är några av de missförstånd som florerar som de experter vi talat med möter allra oftast.

Missförstånd 1: 25 maj smäller det – då blir allt olagligt

– Det allra vanligaste missförståndet när det gäller GDPR är att just den 25 maj är avgörande – det är då en massa saker blir olagliga, säger Agnes Hammarstrand på advokatfirman Delphi.

Men det stämmer absolut inte konstaterar hon – i de flesta fall handlar det om regler som gällt i flera decennier.

Läs också: Svenska handlare har ögonen på Amazon – vad händer när jätten kommer hit?​​​​​​​

– I 80-90 procent av fallen överensstämmer GDPR med den nuvarande personuppgiftslagen, PUL. Fast det är från den 25 maj som du kan bli bötfälld.

Missförstånd 2: Rätten att bli bortglömd är absolut

En annan vanlig myt handlar om rätten att bli bortglömd – att vem som helst kan begära att alla uppgifter om hen ska tas bort, konstaterar både Agnes Hammarstrand och David Frydlinger.

– För det första är det här absolut inget nytt utan har gällt redan under PUL, för det andra är det bara i vissa specifika fall som någon har rätt att glömmas bort, säger David Frydlinger. 

Agnes Hammarstrand
Agnes Hammarstrand.

Och Agnes Hammarstrand är tydlig med att bara företaget gjort allt det ska enligt lagen, gallrat som det ska så är det bara i få fall rätten aktualiseras – exempelvis för marknadsföring eller för sociala medie-företag som Google eller Facebook.

– Det är ingen absolut rätt. Visst kan företag ha gamla data som de inte borde ha men då handlar det inte om rätten att bli glömd utan om att man inte uppfyllt gallringskraven, säger Agnes Hammarstrand.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Agnes Hammarstrand har stött på företag som oroar sig för hur det ska gå om någon anställd begär att bli borttagen i företagets hr-system exempelvis.

– När det gäller anställningsförhållanden så behöver ju företagen ha de anställdas data, det är inte bara att återkalla ett samtycke.

Och David Frydlinger pekar på det orimliga i att vi alltid skulle kunna begära att glömmas bort.

– Skulle vi då ha rätt att tvinga Skatteverket att radera våra uppgifter? Eller skulle vi se till att bli bortglömda direkt efter att H&M levererat varor till oss så de inte kan skicka faktura?

Missförstånd 3: Allt måste krypteras

På it-sidan sprids extra många myter kring GDPR upplever Agnes Hammarstrand. En sådan är att allt måste krypteras.

– Många it-bolag tjänar pengar på GDPR-paniken och då är det mycket sådant här som sprids. Men faktum är att GDPR inte alls ställer krav på att allt ska krypteras. Det handlar helt om innehållet – i de fall det handlar om känsliga data som måste krypteras så är det knappast en nyhet utan något som gällt jättelänge.

Missförstånd 4: Ostrukturerade data – det är det viktigaste att få ordning på

Agnes Hammarstrand pekar på att informationen från Datainspektionen av naturliga skäl fokuserar på nyheterna i GDPR – det som skiljer från PUL.

– Det gör att många tror att det här med ansvaret för personuppgifter i ostrukturerade format är det viktiga och fokuserar på det. Problemet är bara att de inte följt PUL ens en gång så prioritetsordningen blir helt fel, säger hon.

– Visst ska man se till att få ordning i sina ostrukturerade data men det blir att börja i fel ände för de har så mycket annat att åtgärda först, vad gäller strukturerade personuppgifter.

Missförstånd 5: Alla måste ha dataskyddsombud

Malin Edmar, advokat på Edmar Law, har noterat att många företag tror att alla måste ha ett dataskyddsombud. Men det är beroende av typ av verksamhet.

– Om företagets kärnverksamhet bygger på personuppgiftsbehandling eller om man ägnar sig systematiskt åt behandling eller har en stor mängd känsliga personuppgifter. Det innebär exempelvis att de flesta medtechbolag omfattas, men inte en vanlig it-konsult, säger hon.

Missförstånd 6: Det går aldrig att få koll på e-posten

E-posten är en oroshärd konstaterar Malin Edmar. Hon berättar om en kund med 87 000 personer på sin e-postlista som var helt förtvivlad.

– Många tror att det absolut inte går att få koll på den. Men det gäller att man börjar använda de verktyg som finns för att kategorisera inkommande mejl och ställa in gallring i utkorgen. Det är klart att det går, man måste bara få in rutinen.

Läs också: GDPR-chock väntar småföretagen – inte ens hälften har börjat anpassa sig

Och när man väl fått in rutinen så att e-posten blir mer strukturerad går det också att bedriva jobbet mer effektivt framhåller hon.

– När man får mer koll kan man också få mer relevans i utskicken.

Missförstånd 7: Allting behöver samtycke

Visserligen behövs en laglig grund för personuppgiftsbehandling – men samtycke är bara en av flera sådana grunder och snarast ett undantag, konstaterar David Frydlinger.

– Ofta handlar det ju om att man kanske e-handlar något och då måste mina personuppgifter behandlas för att kunna fullgöra avtalet. Och när det gäller marknadsföring så handlar det om det som kallas intresseavvägning.

David Frydlinger pekar på hur det exempelvis skulle vara helt orimligt om Skatteverket skulle behöva samtycke från alla.

– Men det här är en missuppfattning som bitit sig fast.