Den här gången skriver jag om ett vanligt missförstånd kring GDPR. Ett missförstånd som jag tror kan ha att göra med gammal lag och de begrepp som vi idag använder lite slarvigt. Så vad handlar egentligen GDPR om?
Missförståndet är ganska grundläggande för förståelsen av GDPR och vad lagen faktiskt handlar om.
Vissa av er kanske redan gissat vad jag pratar om. Missförståndet som jag pratar om är att GDPR skulle handla om “personuppgiftsregister”. Det gör förordningen inte, förordningen handlar om “behandling av personuppgifter”.
Vad är skillnaden?
Vad är egentligen skillnaden mellan att lagen skulle handla om “behandling av personuppgifter” kontra “register av personuppgifter”? Frågar dig du kanske nu. Svaret är: fokuset skiftar.
Ta till exempel kravet på behandlingslista i artikel 30 av GDPR, som för övrigt ofta brukar kallas för “registerförteckning”.
GDPR handlar inte om register över huvud taget, ändå har just ordet registerförteckning på något sätt bakat sig in i vårt kollektiva medvetande. Därmed hamnar vi i en situation där vi använder ord som leder oss fel.
Jämför dessa två meningar:
“Vi behandlar personuppgifter.”
“Vi har personuppgifter.”
Den första meningen är aktiv, mening nummer två är passiv. Med ett passivt dataskyddstänkt kommer vi bort från det mest grundläggande som vi behöver ha klart för oss när vi bestämmer oss för att behandla personuppgifter. Dvs att det faktiskt handlar om behandling. Konsekvensen blir att fokus blir kartläggning av förvaring och vilka IT-system som finns i organisationen.
Kill your Darlings
Frågan vi ställer oss när fokuset blir register blir: “Varför har vi den här informationen?” Plötsligt hamnar vi i ett läge där vi får ett intresse av att rättfärdiga informationens existens. Vi har ju ändå redan informationen, det måste finnas en anledning till det eller hur? Behandlingen anpassas efter vilken data som finns.
Om vi istället ställer oss själva frågorna “vad är mitt jobb?” och “vad behöver jag för att göra mitt jobb?” så skiftar vi fokus från det passiva till det aktiva. De flesta vet ändå vad deras arbetsuppgifter är, och de som jobbar med personuppgifter har förhoppningsvis även en känsla för vilka personuppgifter de behöver när de gör sitt jobb.
Om behandlingen, dvs “det jag jobbar med”, blir fokuset blir det lättare att identifiera exakt vilka uppgifter som behövs för att behandlingen ska kunna genomföras. Behandlingen blir fokus, och personuppgifternas existens inom organisationen motiveras genom att behandlingen blir omöjlig utan dem.
Så, vad handlar egentligen GDPR om?
Att inventera sin data, alltså det som oftast rekommenderas som ett första steg vid dataskyddsarbetet, är helt enkelt fel ställe att börja eftersom GDPR inte handlar om register av data, utan om behandling. Istället föreslår jag att det första steget ska vara att identifiera vad vi faktiskt jobbar med. Sen kan vi börja fråga oss själva om vi verkligen behöver allt det vi samlat in.
