– Den stora skillnaden jämfört med Pul är att GDPR innebär att ett företag inte kan äga en uppgift om en person, utan bara låna den. Om man förstår det har man kommit långt i omställningen till GDPR, säger Axel Tandberg, jurist och vd på Tandberg & Partners.
Problemet är att attitydförändringar vanligtvis tar tid. Men om man klarar av att genomföra en sådan så blir det enklare att förstå hur man måste förändra sin verksamhet sedan GDPR infördes. Man kanske kan uttrycka det som att förändringen blir enklare om man slutar att kämpa emot.
Läs också: Företagen har börjat förbereda sig för GDPR. Fyra cio:er berättar hur!
På ett mer konkret plan innebär GDPR att företag måste kunna visa vad de vill göra med personuppgifter. Pul har mer varit inriktat på hur data hanteras när ett företag väl har skaffat dem. Det går inte att ha dolda syften med att samla in personuppgifter. Eller det blir åtminstone väldigt mycket svårare.
Bland andra skillnader mellan GDPR och Pul som Axel Tandberg framhäver märks att samtycke måste vara frivilligt, vilket borde innebära att det inte går att kräva samtycke i utbyte mot tjänster eller annat som en person borde vara berättigad.
– Samtycke måste vara separat, förklarar Axel Tandberg
Han nämner att det finns en annan legal grund man kan använda istället: berättigat intresse. Skillnaden med den är att man måste dokumentera varje avvägning man gör.
Bland andra skäl till att samla in personuppgifter märks att fullgöra avtal och rättsliga förpliktelser, skydda individers intressen och utföra uppgifter av allmänt intresse eller för myndighetsutövning.
Läs också: EU:s nya datalagar är klara – miljardböter för it-företag som missköter sig
GDPR innebär alltså att syftet med att samla in personuppgifter sätts under lupp. Det innebär att företag som slentrianmässigt har samlat in personuppgifter måste ta sig en rejäl funderare på varför man gör det och vilka personuppgifter det finns anledning att samla in.
