Hej Axel. Tack för att du tar dig tid! Berätta, hur blev du intresserad av data och juridiken bakom?
Jag fick jobbet som ansvarig för FEDMAs (Federation of European Data Marketing Association) lobbyavdelning i Bryssel år 2000. Där kom jag i kontakt med personuppgifter och magin med att kunna använda den på rätt sätt. Vi förhandlade en europeisk Code of Conduct och det fick mig att förstå nyanserna bakom lagen. Sedan dess har jag varit fast!
Du har ju jobbat länge med dataskydd och undervisat i ämnet sedan man skruvade på tonhuvudet (Commodore 64, för den yngre generation). Vad är det vanligaste misstaget inom dataskydd företag gör idag?
Det som de flesta företagen missar är att dokumentera hur man har tänkt och jobbar med frågorna inom organisationen samt att respektera individen. Det är individen som äger uppgifterna, organisationen har den bara till låns.
Är ditt jobb svårt?
Nu kommer jag att svara som den jurist jag är: ja och nej
Ja – då dataskydd och respekt för personuppgifter under en väldigt lång tid innan GDPR var ett eftersatt område som man inte riktigt behövde bry sig om så skapades det många dåliga vanor (det fanns inga riktiga sanktioner.) Det är svårt för många som jobbar med personuppgifter att lära om och förstå vikten av att inte fortsätta som förut.
Nej – När man väl har vänt skeppet så är det lättare.
Självklart kommer det nya utmaningar inom området, men har man basen på plats så är det inte så svårt.
Du är ju numera även kursansvarig för DP Academy. En fyradagars kurs om Dataskydd som samordnas med Forum För Dataskydd. Vilka är det som går kursen?
Kursen är till för de som arbetar med dataskydd/personuppgifter eller är intresserade av dataskydd och vill lära sig mer. Då det är en kurs som är praktiskt inriktad kan alla dra nytta av det man lär sig i sitt dagliga arbete. De som går på kursen är allt från dataskyddsombud, IT-ansvariga till de som precis ar börjat jobba med frågorna. (Läs mer om DP Academy här)
Privacynotice, Privacypolicy, Privacypolicynotice – en gång för alla, vad heter det?
Jag skiljer på Privacy Notice och Privacy Policy.
Privacy Notice (Integritetsskyddspolicy) är den information som vi lämnar ut till de som vi samlar in information från, dvs. individers vars uppgifter vi vill låna där vi beskriver vad vi tänker göra med deras uppgifter.
Privacy Policy är en policy som man tar fram inom organisationen som beskriver hur vi INOM organisationen ska arbeta med personuppgifter. Vad man ska tänka på, var uppgifterna ska sparas, vem som ska få ta del av uppgifterna etc.
En kanske enkel fråga. Får jag ta ett kort på någon man inte känner och publicera det på FB utan att fråga?
Nej, du behöver individens tillåtelse – kom ihåg att det inte är din egendom som du lägger upp, det är den som man ser på bildens.
Hur många gånger om dagen när du är ute och surfar på sidor har du tänkt, det där företaget hade jag kunnat stämma för att dom inte har koll på sina kakor (cookies)?
Fler än jag vill erkänna…
Sist men inte minst så blir ju även dom största företagen stämda hit och dit för olika datahanterings slarv. Man tycker ju Meta, Instagram m.fl borde ha stenkoll. Är det en kalkylerad risk?
Ibland, GDPR är en riskbaserad lagstiftning där din riskaptit är avgörande för de valen du gör. Samtidigt så ska vi komma ihåg att GDPR är en ung lagstiftning som ska se likadan ut inom hela EU vilket är lite speciellt. Tolkningen av texten varierar från land till land och vi håller fortfarande på att jämna ut tolkningarna.
Det är inte det lättaste att veta vilket lands tolkning man ska hålla sig till. Ibland hamnar man fel, men då är det viktigt att man kan visa i sin dokumentation hur man tänkte och därmed agerade på det sätt man gjorde. Oftast kan detta räcka för den dataskyddsmyndighet som kontrollerar, men är det en av de riktigt stora så vill man statuera exempel – för, som jag brukar säga, när elefanterna dansar studsar råttorna med.
Tack Axel!
Kontakt: axel.tandberg@legalworks.se
