Vad skulle vi gjort i stället?
Om man betänker att beslutet om GDPR faktiskt fattades av EU:s ministerråd och EU-parlamentet i april 2016 och att GDPR faktiskt bygger på det 23 år gamla Dataskyddsdirektivet från 1995 är de senaste veckornas stress och flod av uppdaterade integritetspolicyer och mail om att ge/bekräfta sitt medgivande (mer om det nedan!) ganska obegriplig och meningslös.
Du som känner dig osäker på om du och ditt företag lyckas leva upp till kraven i GDPR kan ”trösta” dig med att om ni inte klarar kraven idag har ni med stor sannolikhet inte klarat kraven de senaste tjugo åren heller. För de flesta företag är 80–90% av de regler som berör dem i GDPR mer eller mindre identiska med de regler som fanns i personuppgiftslagen, PUL.
Min personliga uppfattning (som jag i och för sig delar med många andra) är att det vi skulle gjort, och det vi har möjligheten att gör nu, är att sluta prata om GDPR och i stället prata om det som direktivet gäller; integritet, säkerhet och rätten till sin egen data. Och inte bara prata om det utan också ta dessa frågor på allvar och betrakta 25 maj 2018 som första dagen i en ny tid där vi alla värderar integriteten så högt som vi redan borde värdera den.
25 maj 2018 var första dagen.
Inte den sista.
Var allt vårt hårda slit med GDPR helt i onödan?
Nej, det var det så klart inte. Långt därifrån. Att så många företag sett över sin hantering av personuppgifter, hur man lagrar dem och inte minst hur man gallrar personuppgifter för att säkerställa att man inte lagrar uppgifter längre än nödvändigt och att de man lagrar är uppdaterade och aktuella är ett arbete som nästan inte går att värdera i pengar.
Många företag och organisationer har också tagit tillfället i akt och verkligen gått igenom den data de hade lagrad och tänkt igenom sina rutiner. Raderat onödig och/eller inaktuell data. Infört rutiner för hur länge och på vilket sätt man sparar data. Dokumenterat rutiner och policyer för att skapa bättre transparens och tydlighet för kunder, användare och anställda.
Men. Det allra viktigaste så här långt är att GDPR verkligen har blivit ett samtalsämne som triggat både långa och djupa diskussioner både på företag och bland privatpersoner. Att datalagring och integritet äntligen synliggjorts och blivit en del av vår vardag och inte ett ämne som bara de närmast sörjande nördarna bryr sig om.
Hur går vi vidare?
GDPR är för de flesta företag löjligt omfångsrikt och omöjligt att överblicka i detalj, men det viktigaste att komma ihåg är att all hantering av personlig data måste ske enligt det strikta regelverket och att gamla undantag inte längre gäller. Den som samlar data måste ha laglig grund för att göra det och måste också tydligt visa för personen det berör vilka data som samlas in, hur den hanteras och hur den sparas. Allra viktigast, och kanske det minst diskuterade under de senaste veckorna, är kravet på att system och rutiner ska utformas så att personlig data inte sparas om den berörda personen inte samtycker.
Det låter kanske inte som om det skulle vara så revolutionerande, men det är det. Hittills har det normala snarare varit att samla in så mycket data som möjligt under så kort tid som möjligt men hädanefter måste alltså grundinställningen vara att inte samla in personlig data alls.
Smaka på den en gång till: Grundinställningen måste alltså vara att inte samla in någon personlig data alls.
GDPR är samtidigt väldigt tydligt med att rätten till din personliga data inte är viktigare än allt annat. Det finns gott om undantag som ger individer, företag och organisationer rätt att samla in personliga data helt legitimt. Men – och det är ett väldigt viktigt men – det betyder ändå att grundinställningen ska vara att ingen personlig data ska samlas in. All lagring av personlig data måste motiveras och utgå från individens rätt till sin personliga integritet. Inte dränkas i en aldrig så välskriven och uppdaterad integritetspolicy.