Om vi bara haft GDPR förra året, Transportstyrelsen…

“Är du redo för GDPR?”
Företagsreklamen låter halvt hotfull men som medborgare kan vi vara glada.
Hade vi haft GDPR så hade Transportstyrelsen aldrig kunnat slänga omkring sig med hemliga uppgifter.

Om ditt företag eller din förening inte fattat att PUL är ute och GDPR gäller så har ni bara två månader kvar på er.
EUs nya dataskydd träder nämligen i kraft den 25 maj.
Kraftiga böter väntar den som schabblar.

För oss svenskar, ofta naivt omedvetna om att det kan lura fula fiskar i vassen, blir det en ny upplevelse att behöva ta ansvar för människors personuppgifter, insamlade för företaget eller myndighetens räkning.

Första frågan att ställa sig:
Vet du vilka personuppgifter som ditt företag/myndighet har samlat in?
Bäst, för ni ska ha en förteckning över registren och deras innehåll.

Nästa fråga:
Är alla uppgifter skyddade för insyn från obehöriga?
Inget babblande på mail hur som helst.

Tredje frågan:
Har du talat om för dina kunder, medlemmar eller anställda vilka personuppgifter du har på dem?
De har rätt att få veta, att ändra felaktigheter eller att dra tillbaka uppgifterna.

Om du har registrerat hur ofta de tränar på ditt gym så måste du informera dem om det.
Och tänker du använda uppgifterna till annat än att skicka ut räkningen, t ex sälja dem till ett sneakers-företag, måste du fråga om lov.
Anställdas foton och telefonnummer på företagets hemsida?  – de ska godkänna det först.

Är du bara ett litet, lite företag eller förening (färre än 250 kunder/medlemmar) så kan du somna om.
Det gäller inte dig.

Men för Transportstyrelsen gäller hädanefter att ledningen måste ha klart för sig vilken info de har i sina register.
Det visste de tydligen inte så sent som förra året.

Transportstyrelsen måste också veta om uppgifterna är känsliga.
(Tips, arbetsschema för poliser är känsligt.
Hemadresser för försvarets piloter är känsligt.)

Och Transportstyrelsen får inte lämna ut uppgifter utan alla tänkbara säkerhetsåtgärder.
Att skicka uppgifter om svenska piloter till serbisk militär blir inte längre möjligt.

Överhuvudtaget att skicka personuppgifter utanför EU blir inte lätt (tips till Socialstyrelsen som lagrar svenska vårdjournaler hos amerikanskt företag på Irland).

Alla myndigheter, folkvalda församlingar eller företag som hanterar offentliga register måste ha ett dataskyddsombud.
Skyldighet införs också att genast rapportera intrång.

Det hemsnickrade svenska undantaget i PUL för att hantera personuppgifter lite som man vill bara man är snäll (inte missbrukar uppgifterna) försvinner nu.

Jobbigt?
Tydligen.
GDPR uppfattas som så jobbigt för Stockholm stad att man inte orkar gå vidare med sin kartläggning av sexuella trakasserier i skolan.
Att skydda de utsattas identitet tar emot.

Nåja, som enkel medborgare är jag rätt lättad.