Många var oroliga för att företag skulle tappa kunder. Svensk Handel varnade för ”miljardsmäll” Och medierapporteringen om de höga sanktionsavgifterna för den som gör fel gav många företag inom handeln rejält med orosfjärilar i magen. Kurser om det nya regelverket sålde som smör och konsulter som föreläste om GDPR hade fulla kalendrar. Men för de flesta svenska företag som håller på med försäljning är läget faktiskt ungefär som det var innan lagen infördes den 25 maj förra året:

– Enkelt uttryckt kan man säga att vi inte märker någon skillnad alls. Ur säljarnas perspektiv är det enda som märks att det tillkommit en ruta där samtycke ska kryssas i. Men även om GDPR inte påverkar det dagliga jobbet för oss är väl det positiva med lagen att många fått ett uppvaknande och börjar rensa upp i sina register, säger Lars Johansson, affärsområdeschef hos Triumf Glass.

Triumf Glass tillverkar årligen 16,5 miljoner liter glass – allt från stycksaker och dessertglass till skopglass – i sin fabrik i Sävedalen utanför Göteborg. Företaget har cirka 60 medarbetare på glassfabriken och 25 säljare runt om i landet. Glassen säljs via grossister till såväl dagligvaruhandeln som servicehandeln och storkök eller restauranger.

Lars är affärs-områdes-chef för säljkåren DVH som har kunder inom Ica, Coop, Axfood, City Gross och Bergendahls. Säljkåren får tillgång till ett butiksregister från en partner men lägger inte upp några egna register utöver att de varor som sålts fylls i löpande.

Butiksregistret uppdateras två gånger per år, och då slänger man det gamla.

– Det är ordning och reda på det register vi köper in och det fungerar bra, säger Lars.

Inför introduktionen av GDPR rapporterades det mycket i media om komplexiteten i lagen och de höga sanktionsavgifterna. Enligt Lars Johansson fanns det ingen stor oro bland säljarna inför den nya lagen, däremot en hel del frågetecken. Många ville förstås veta om det skulle påverka det dagliga jobbet. Därför hyrde Triumf Glass en extern konsult som kom dit och föreläste om den nya lagen och vad som krävs för att leva upp till den. Sen lades en ”aktionsplan” upp.

– Det stod snabbt klart att det inte var så svårt som det verkade. För oss som är ett mellanstort företag och inte lägger upp egna register med personuppgifter är det här inga problem. Jag kan tänka mig att mindre företag som själva skapar register får mer ok på sina axlar, men för oss inom försäljningen på Triumf Glass är det ingen större skillnad. 

Hos Svensk Handel var oron inför den nya lagstiftningen däremot tydlig. Eftersom GDPR lämnar ett stort ut--rymme för tolkningar bestämde sig Svensk Handel för att ta fram en guide för medlemsföretagen. Juristen Linda Leffler Olsson har varit en spindel i nätet kring tolkningsguiden:

– Som vi ser det har inte alla medlems-företagen ekonomiska resurser att ta in extern hjälp, eller besitter kompetensen själva. Därför ville vi göra Tolkningsguiden till ett praktiskt verktyg som ger konkreta förslag på beskrivningar av ändamålen med personuppgiftsbehandling och lämplig laglig grund, säger Linda.

De flesta frågor som kom in till Svensk Handel innan lagen trädde i kraft handlade om hur länge man egentligen får spara personuppgifter. Svaret är ett exempel på hur svårt det är att tolka lagen – ”så länge det är nödvändigt” är ju ett tänjbart begrepp som onekligen kan inge oro hos den som ska hantera uppgifterna.

– Det är klart att det skapar osäkerhet. Man kan också se att medlemmarna blivit lite rädda för att spara för länge, och till viss del ändrat beteende. Samtidigt finns det områden där det är viktigt att spara, till exempel inom arbetsrätten där arbetsgivaren måste kunna visa att man följt de arbetsrättsliga reglerna under rätt lång tid efter att en anställning upphört.

De stora sanktionerna lyftes upp en hel del i media inför lagstiftningen, och hotet om enorma böter vid fel handhavande skrämde förstås också upp många.

– Jag tycker tyvärr att det blivit en slagsida i medierapporteringen kring sanktionerna och det har skapat en onödig oro. Man ska inte jobba med det här för att man är orolig, utan se fördelarna med lagstiftningen, menar Linda.

Ett företag som lägger sig vinn om att arbeta medvetet och genomtänkt med GDPR kan vinna mycket på det i form av ökat kundförtroende, anser hon. Den interna kartläggningen av hanteringen kan också innebära att man upptäcker brister i processerna. Det är bara positivt eftersom det gör att man kan få bättre kontroll över dataflöden och kvalitetssäkra arbetet på ett nytt sätt, menar Linda.

Problem som finns sedan tidigare kan upptäckas. Många har inte arbetat med PUL på det här sättet, nu måste man skapa en god förvaltning.

GDPR innebär också att tillämpningen av lagstiftningen ska se likadan ut i hela Europa på det här området – åtminstone när det hela satt sig.

Ja, än så länge är det tyvärr ganska oklart hur lagen kommer att tolkas eftersom olika tillsynsmyndigheter historiskt haft olika synsätt. Det kommer såklart att bli en utmaning även för tillsynsmyndigheterna att hitta en gyllene medelväg.

 Den svenska tillsynsmyndigheten Datainspektionen har inlett några granskningar och en del företag har fått reprimander sedan lagstiftningen infördes. Inspektionen håller också på med en utredning som gäller giltiga samtycken. Samtyckesavtal används flitigt av företagen men har nackdelen att kunden kan säga upp avtalet när som helst.

Fakta: GDPR

  • Dataskyddsförordningen GDPR (The General Data Protection Regulation) innehåller regler för hur man får behandla personuppgifter. Förordningen infördes den 25 maj 2018 och ersätter personuppgiftslagen PUL.
  • GDPR gäller i hela EU och har till syfte att skapa en enhetlig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom EU inte hindras.
  • Datainspektionen i Sverige är tillsynsmyndighet och har till uppgift att hjälpa, vägleda och informera om reglerna kring personuppgiftsbehandling och dataskydd.