j

skriven av joakim

}

10.07.2021

Vad handlar egentligen GDPR om? Del 1 – ett vanligt missförstånd.

Den här gången skriver jag om ett vanligt missförstånd kring GDPR. Ett missförstånd som jag tror kan ha att göra med gammal lag och de begrepp som vi idag använder lite slarvigt. Så vad handlar egentligen GDPR om?

Missförståndet är ganska grundläggande för förståelsen av GDPR och vad lagen faktiskt handlar om.

Vissa av er kanske redan gissat vad jag pratar om. Missförståndet som jag pratar om är att GDPR skulle handla om ”personuppgiftsregister”. Det gör förordningen inte, förordningen handlar om ”behandling av personuppgifter”.

Vad är skillnaden?

Vad är egentligen skillnaden mellan att lagen skulle handla om ”behandling av personuppgifter” kontra ”register av personuppgifter”? Frågar dig du kanske nu. Svaret är: fokuset skiftar.

Ta till exempel kravet på behandlingslista i artikel 30 av GDPR, som för övrigt ofta brukar kallas för ”registerförteckning”.

Hur mycket jag än försöker hittar jag inget som heter registerförteckning i lagen.

GDPR handlar inte om register över huvud taget, ändå har just ordet registerförteckning på något sätt bakat sig in i vårt kollektiva medvetande. Därmed hamnar vi i en situation där vi använder ord som leder oss fel.

Jämför dessa två meningar:
”Vi behandlar personuppgifter.”
”Vi har personuppgifter.”

Den första meningen är aktiv, mening nummer två är passiv. Med ett passivt dataskyddstänkt kommer vi bort från det mest grundläggande som vi behöver ha klart för oss när vi bestämmer oss för att behandla personuppgifter. Dvs att det faktiskt handlar om behandling. Konsekvensen blir att fokus blir kartläggning av förvaring och vilka IT-system som finns i organisationen.

Kill your Darlings

Frågan vi ställer oss när fokuset blir register blir: ”Varför har vi den här informationen?” Plötsligt hamnar vi i ett läge där vi får ett intresse av att rättfärdiga informationens existens. Vi har ju ändå redan informationen, det måste finnas en anledning till det eller hur? Behandlingen anpassas efter vilken data som finns.

Vad handlar egentligen GDPR om?
När till och med verksamt.se skriver att vi ska börja med att lista personuppgifter istället för behandlingar så är det inte konstigt att det blir missförstånd.

Om vi istället ställer oss själva frågorna ”vad är mitt jobb?” och ”vad behöver jag för att göra mitt jobb?” så skiftar vi fokus från det passiva till det aktiva. De flesta vet ändå vad deras arbetsuppgifter är, och de som jobbar med personuppgifter har förhoppningsvis även en känsla för vilka personuppgifter de behöver när de gör sitt jobb.

Om behandlingen, dvs ”det jag jobbar med”, blir fokuset blir det lättare att identifiera exakt vilka uppgifter som behövs för att behandlingen ska kunna genomföras. Behandlingen blir fokus, och personuppgifternas existens inom organisationen motiveras genom att behandlingen blir omöjlig utan dem.

Så, vad handlar egentligen GDPR om?

Att inventera sin data, alltså det som oftast rekommenderas som ett första steg vid dataskyddsarbetet, är helt enkelt fel ställe att börja eftersom GDPR inte handlar om register av data, utan om behandling. Istället föreslår jag att det första steget ska vara att identifiera vad vi faktiskt jobbar med. Sen kan vi börja fråga oss själva om vi verkligen behöver allt det vi samlat in.

Drake har fattat

Relaterade blogginlägg

Incidentmall

Incident-tillbudsrapportLadda ner Incidentrapportering är något som finns i massa branscher, men av någon anledning tror folk att det ska gå till på ett särskilt sätt inom dataskydd. Så är det inte....

läs mer

Mall för Konsekvensbedömning

Konsekvensbedomning-mallLadda ner När jag satt och letade efter mallar för konsekvensbedömningar insåg jag att det inte fanns några bra. De flesta är antingen någon form av checkboxövning (vilket...

läs mer
IMY lyssnar inte första gången

IMY lyssnar inte första gången

Inledning Kommer ni ihåg när ni såg Star Wars för första gången? Alltså a New Hope. När Darth Vader kommer in fattar man: "han den där ska man inte leka med, det kan stå en dyrt". Det här...

läs mer
Borde vi ha ett Dataskyddsombud?

Borde vi ha ett Dataskyddsombud?

Rollen som Dataskyddsombud är lite speciell. Det kortaste sättet att beskriva rollen (som jag kan komma på) är att det är som att vara revisor, fast med GDPR. En längre beskrivning av tjänsten kan...

läs mer