Kan man jobba med GDPR-frågor utan att vara jurist?

För en kort tid sedan försökte jag mig på konststycket att sammanfatta dataskyddsförordningen GDPR och förmedla huvuddragen på ett någorlunda lättillgängligt sätt. Själva förordningen ser skräckinjagande ut för den oinvigde. Mer lättsmält information finns det förstås gott om, men jag siktade på något mittemellan. Jag tror att just här finns kunskapsluckor att fylla.

Jag är inte jurist, och för att vara säker på att min sammanfattning varken förvanskar förordningen eller vilseleder läsaren skickade jag den till en jurist för granskning. När texten kom åter var den full av kommentarer och ändringar i röd text, som en slarvigt skriven uppsats i skolan efter lärarens rättningar.

Återkopplingen var både relevant och bra men texten var inte lika lättillgänglig längre. Den var mer exakt men samtidigt mindre tydlig för den målgrupp jag såg framför mig. Kan man skriva om GDPR, läsa och förstå utan att vara jurist? Och i förlängningen, måste man vara jurist för att kunna ta ansvar för att följa GDPR?

Hur gör man GDPR enkelt? 

Visst kan de flesta ta till sig huvuddragen i dataskyddsförordningen. Och det är viktigt, för vi är många som genom vårt dagliga arbete bidrar till att följa den. Men några måste också ta ett större ansvar och förstå kraven tillräckligt väl för att omsätta dem i rutiner och processer. Här spretar det väldigt inom olika verksamheter. Stora företag gör klokt i att konsultera expertis, liksom mindre bolag med omfattande personuppgiftsbehandling.

Hur är det med övriga företag då, de små och mellanstora med lite enklare personuppgiftsbehandlingar? Ja, hur definierar man överhuvudtaget "enklare behandling" frågar min jurist? En bra sammanfattning och guide måste ge verktygen för att avgöra just detta, och för att förstå när speciell hänsyn måste tas.

I ärlighetens namn finns det ingen idag som vet precis vad som är gott nog för att uppfylla kraven i GDPR. Förordningen ger gott om tolkningsutrymme och det saknas fortfarande prejudikat. Dessutom skiljer det sig mycket mellan olika verksamheter.

Mitt mål med att sammanfatta GDPR var att uppmuntra till faktiska åtgärder som leder till förändring. Därför skulle den i första hand vara tillgänglig, men samtidigt korrekt. En läsare som tappar budskapet på vägen kan heller inte agera. Det är svårt att få en god överblick genom att läsa förordningen i sin helhet.

Som personuppgiftsansvarig, i slutändan de flesta företagsledare, måste man ge sig in på en mognadsresa som börjar med förståelse för GDPR i stora drag. Tillräcklig förståelse för att formulera rätt frågor och söka svar. I slutet av resan måste det vara tydligt om och vilka specialregler och undantag som gäller för den egna verksamheten. Då har man också tolkat kraven och omsatt dem i rutiner och processer. Man kan inte leva upp till GDPR genom en punktinsats, det är en förmåga man tränar upp i sin organisation.

Var ska man börja? 

En bra start är Integritetsskyddsmyndigheten material om enkla grunder i dataskydd. Man kan också läsa hela förordningen på deras webbsida. Om man skulle försöka sig på en prioritering skulle jag tipsa om att börja med delar av artikel 4 för viktiga definitioner, artikel 5 och 6 om principer och laglig behandling, artikel 9 om särskilda typer av personuppgifter, artikel 13 och 14 om information till registrerade, avsnitt 3 om rättelse och radering och artikel 28 om personuppgiftsbiträden. Med en grundläggande förståelse går det bra att ögna hela förordningstexten och hitta vilka områden som kan vara relevanta för den egna verksamheten.

Idag kan man svårligen vara säker på att man följer GDPR till punkt och pricka. Men man kan vara lika säker på att man inte lever upp till kraven i GDPR utan en grundläggande förståelse för innehållet. Och det är en milsvid skillnad mellan att ha läst, tolkat och vidtagit åtgärder och att ha gjort ingenting alls.”