Tre GDPR-fällor att akta sig för och ett lugnande besked

Torsdag 3 maj 2018

Caroline Olstedt Carlstrom

Det är bara veckor kvar till den nya dataskyddsförordningen GDPR träder i kraft. Och för en liten tidskrift kan det vara mycket regler att sätta sig in i. Sveriges Tidskrifters GDPR-expert Caroline Olstedt Carlström varnar för de värsta fällorna – och ger lugnande besked.

Vad ska mindre tidskriftsaktörer tänka på inför att GDPR träder i kraft 25 maj?

– Det första och allra viktigaste när det gäller GDPR är frågan om internt ägarskap. Börja med att se till att du i varje fall har någon som äger frågan. Bara genom att göra det kommer problematiken att lyftas. En redaktion på två, tre personer kan inte anställa någon bara för att titta på dataskyddet, men man får utse någon som äger frågan.

Vad ska en tidskrift sedan göra för att hantera personuppgifter på ett korrekt sätt?

– Starta med någon form av Exceldokument och skriv ned “vad behandlar vi för information i dag”. Gör en kartläggning, börja gå runt på avdelningar och titta på egna servrar. Har vi ett prenumerationsregister, anställningsregister och register över andra leverantörer? Börja med att ta reda på: “Var, hur och varför behandlar vi personuppgifter i dag?

Vad ska medlemstidningar särskilt tänka på inför det nya regelverket?

– Var lite försiktig med att visa vad det är för typ av medlemmar som du har. Det kan till exempel handla om tillhörighet i fackförbund eller något som visar att en person har en viss sjukdom eller ett visst handikapp. Genom medlemskapet avslöjas de här känsliga personuppgifterna och det gör det än viktigare att informationen hanteras rätt och följer kraven.

Hur ska nyhetsbrev hanteras?

– Vi måste gallra register och ta bort kontakter, vi kan inte ha information som bara ligger. Vi behöver själv definiera hur länge vi sparar informationen, det beror på olika faktorer, men man måste bestämma vilken policy som man har.

Vilka problem kan en liten aktör brottas med?

– Det är samma frågeställningar som för större aktörer, i dag behöver alla vara allvetare och kunna lite bokföring, lite IT och lite allt möjligt. Det kan vara svårt att ta höjd även för dataskyddet då. Det är en tröskel att ta sig över, men det gäller att skaffa sig grundförståelse för dataskyddet generellt.

Avslutningsvis, är det något specifikt du vill föra fram kring GDPR?
– Ja, det är viktigt att ta med sig att 25 maj inte är en deadline. Även om en tidningsaktör till exempel inte hinner med eller hinner klart är det aldrig försent att börja. Det här är ett nytt tänk som vi behöver få in. Nu gör vi vårt bästa. Hinner vi inte så mycket nu, tar vi det vidare. Det är nu det startar. Det är inte en deadline.

Men många är väl rädda för att drabbas av höga sanktionsavgifter?

– Det förstår jag. Men för tidskrifter är inte den stora risken att få sanktioner, så länge företaget inte har gjort något helgalet. Inte på några hiskeliga nivåer som upp till 20 miljoner euro i alla fall. Det handlar om att värna sin kundgrupp. Vi behöver sköta det på ett bra sätt för att behålla våra kunder. Här finns det förväntningar hos de registrerade och hos kunderna och det är det vi behöver möta. Nu gör vi vårt bästa och försöker få till ett bra skydd.

Matilda Nilsson / Allt om Tidskrifter (Prenumerera på vårt nyhetsbrev)

Dataskyddsexperten Caroline Olstedt Carlström listar:

Tre GDPR-fällor för tidskrifter

  1. Allt är inte journalistisk verksamhet
    En fälla för tidskrifter kan vara att det finns undantag för dataskyddsregelverket för journalistiskt verksamhet. Men det gäller inte allt. Det gäller just den journalistiska delen.
  1. Det behövs inte samtycke för allt
    Ett vanligt missförstånd är att många tror att du behöver ett samtycke till allt man ska behandla. I dag använder vi samtycken på för många ställan och gör det onödigt svårt. Ett exempel är att du behöver inte alls alltid ha ett samtycke för att skicka ett nyhetsbrev, inte som standard.
  1. Dataskyddet gäller även för tredje part

När du arbetar med underleverantörer måste du vara medveten om att du har ett ansvar för dataskyddet hela vägen ned. Missa inte att du har skyldighet att se till att all data är säkrad även hos tredje part.

Checklista GDPR: Så skriver du personuppgiftsbiträdesavtal

TIDSKRIFTSLEVERANTÖRER

  • Ad 4 you

    Ad 4 you media AB arbetar med annonsförsäljning och marknadsföring till rikstäckande facktidningar, branschtidningar och organisationstidningar.

  • Annonskraft

    En erfaren och engagerad säljkår som trivs på jobbet och drivs av nytänkande. Vi har sedan 2000 samarbetat med flera av de stora medieaktörerna, både vad gäller print och digitalt.

  • V-TAB

    Nordens största tryckerikoncern. Tänk tryck. Tänk V-TAB. Hos oss har du tillgång till all tänkbar tryckkompetens och en ansenlig bredd med tjänster – från tidningar och direktreklam till skyltar och affärstryck i alla möjliga och omöjliga former.