På fredagen infördes EU:s nya dataskyddslag GDPR som ersätter PUL. Svenska företag är sämst förberedda i Europa, enligt Capgemini. Realtid.se lät tre branschaktörer – SEB, Handelsbanken och fintech-bolaget Savelend – ge sin syn på den nya lagen.
"Småföretagare borde fått bättre GDPR-vägledning"
Realtid.se har rapporterat mycket kring den stora och utbredda okunskapen kring GDPR i Sverige, framför allt bland småföretagare som generellt varit dåligt förberedda.
Lagen kräver bland annat ökad transparens i och striktare strukturering av personuppgifter än PUL. Privatpersoner ska även ha rätt att få sina personuppgifter borttagna från företags- och bankregister om de vill det.
På fredagen släpptes en rapport från konsultjätten Capgemini som visar att svenska bolag är sämst GDPR-förberedda i hela Europa. Bara 33 procent av företagen har hunnit klart med sina förberedelser. Rapporten visar också att en tredjedel av företagen bara fokuserat på compliance, istället för att se GDPR som en konkurrensfördel och affärsmöjlighet.
Realtid.se skickade en enkät till samtliga svenska storbanker och nischbanker samt flera fintech-aktörer och hade på fredagen fått svar från SEB, Handelsbanken och fintech-bolaget Savelend som erbjuder en marknadsplats för krediter. Nedan presenterar vi svaren.
Johan Bocander, SEB:s dataskyddsombud:
Hur ser ni på GDPR som reglering?
– Mycket av grunderna i GDPR finns redan i PuL, men delar i det nya regelverket står i konflikt med andra regelverk såsom AML. Vi anser att den personliga integriteten är viktig och att den information vi har om kunden och hur den används ska vara transparent. GDPR skapar en enhetlighet i detta avseende.
Är det rimliga bötesnivåer?
– Det åteerstår att se hur myndigheterna hanterar bötesfrågan och hur olika identifierade brister ses i bötesperspektiv.
Hur ska samtliga personuppgifter, om kunden så önskar, raderas? Är det ens möjligt?
– Banken måste i vissa fall behålla kunduppgifter beroende på kundförhållanden och lagstiftning.
Har lagen svagheter som borde förbättras? Vilka?
– Det återstår att se när den väl börjar tillämpas, men det vore en fördel om konflikter med andra regelverk såsom AML kunde lösas.
Vilka är de största utmaningarna med GDPR?
– Dessa återfinns inom förändringarna jämfört med PuL eftersom det saknas praxis gällande tillämpningen. Flera förändringar kräver IT-utveckling vilket är både kostsamt och tidskrävande.
Hur påverkar GDPR er organisation?
– Som alla regelverksförändringar innebär GDPR att vi analyserar de nya kraven och gör anpassningar där så behövs men i grunden har organisationen redan sedan tidigare kunden i fokus.
Är er organisation redo för GDPR?
– Ja, i obligatoriskt hänseende är vi klara. Sedan kommer vi över tid att utveckla och effektivisera processer vidare.
Hur har ni förberett er?
– GDPR-projektet har drivits i ungefär ett år och varje affärsdivision har tagit ansvar för hur processer och tjänster ska hanteras.
Hur mycket pengar har ni avsatt för era GDPR-förberedelser?
– Vi redovisar inte kostnader externt på denna nivå.
Hur nyttjar ni GDPR som en affärsmöjlighet?
– GDPR medför en ökad dialog med kunderna rörande deras personuppgifter. Detta, tillsammans med den översyn av organisation och processer som vi samtidigt genomför, syftar även till att förbättra vårt erbjudande.
Mats Olsson, presskontakt, Handelsbanken:
Hur ser ni på GDPR som reglering?
Inget svar lämnat.
Är det rimliga bötesnivåer?
Inget svar lämnat.
Har lagen svagheter som borde förbättras? Vilka?
– Handelsbanken har inga synpunkter på lagar och regler. Det är inte vår roll. Banken har redan idag ett starkt skydd av information och det regleras även av annan lagstiftning som banksekretess och penningtvättslagen.
Vilka är de största utmaningarna med GDPR?
– Det är ännu för tidigt att uttala sig om. På vissa områden har praxis ännu inte utvecklats, till exempel när det gäller dataportabilitet. På andra områden behövs vissa förtydliganden från myndigheterna.
Hur påverkar GDPR er organisation?
– Vi säkerställer att processer, rutiner och system uppdateras så att vi lever upp till GDPR, med fokus på att uppfylla kunders och anställdas rättigheter, och på att säkerställa transparens gentemot kunder och anställda. Vi har utbildat hela organisationen om GDPR och genomfört riktad utbildning mot de grupper som behöver specifik kunskap.
Är er organisation redo för GDPR?
– Ja.
Hur har ni förberett er?
– Genom att analysera nuläget och ta fram åtgärdsplaner. Vi har därefter uppdaterat instruktioner för alla områden, gått igenom vår kundkommunikation, kundavtal och leverantörsavtal samt anpassat våra system. Vi har även som nämnt utbildat hela organisationen i hur GDPR påverkar banken.
Hur nyttjar ni GDPR som en affärsmöjlighet?
– GDPR säkerställer att vi ökar vår transparens mot våra kunder och anställda och förtydligare att vi tar deras rättigheter på allvar och är en bank som har kvalitet och säkerhet i våra tjänster.
Ludwig Pettersson, vd och grundare av fintech- och P2P-bolaget Savelend:
Hur ser ni på GDPR som reglering?
– Vi ställer oss givetvis positiva till att personuppgiftshantering tas på allvar och att vi får en slagkraftig reglering efter många år av PUL.
– Att vi dessutom får en gränsöverskridande reglering som omfattar samtliga medlemsländer inom EU är givetvis bra. Att organisationer börjar ifrågasätta ändamålen med behandling av vissa personuppgifter är även det något positivt.
Är det rimliga bötesnivåer?
– Vi får invänta praxis och se hur höga nivåerna de facto blir. Jag är dock rätt säker på att de flesta bolagen inom unionen börjar ta personuppgifts-/informationshantering på allvar med tanke på de administrativa sanktionsavgifternas storlek.
Hur ska samtliga personuppgifter, om kunden så önskar, raderas? Är det ens möjligt?
– Det är givetvis en av frågorna som vi har diskuterat flitigt under våren. Det viktiga är att ha ordning och reda när det kommer till informationshantering och även etikettera sin data så att det på ett enkelt och smidigt sätt går att radera på begäran av kunden.
– Vi behöver även ta ställning till vilken data som kan komma att behöva lagras under en längre tid, trots en sådan begäran, med anledning av de krav som följer av exempelvis penningtvätt & terroristfinansierings-, bokförings- och konsumentkreditlagstiftningen. Så svaret på din fråga blir således, i sann juristmanner, ”det beror på”.
Har lagen svagheter som borde förbättras? Vilka?
– Jag tror att många frågetecken kommer att rätas ut genom praxis, exempelvis bötesnivåerna som i nuläget framstår som oklara och skrämmande för många aktörer.
– Vidare kan jag tycka att vägledning till småföretagare kunde varit betydligt bättre, vilket förmodligen kommer att leda till att många av dessa ignorerar den nya regleringen eftersom det är för kostnadskrävande att anlita juridisk konsultation för att orientera sig genom den nya förordningen.
Vilka är de största utmaningarna med GDPR?
– Tidsåtgången för kunskapsanskaffningen, inventering av verksamheten, involvera hela organisationen i arbetet och samtidigt utbilda dessa för att ”alla ska kunna dra åt samma håll” framgent.
Hur påverkar GDPR er organisation?
– Givetvis en hel del resursmässigt, både i tid och pengar. Däremot ser vi ett stort mervärde i att förbättra sättet vi haterar information.
Är er organisation redo för GDPR?
– Det skulle jag vilja påstå att vi är! Givetvis finns det mycket vi vill, och kommer att, förbättra/finslipa under de kommande veckorna.
Hur har ni förberett er?
– Genom att allokera en hel del resurser till arbetet med GDPR. Vi har även fört många och långa dialoger med andra företag för att försöka få rätsida på en del frågeställningar som dykt upp under resans gång.
– Personligen ska det bli väldigt skönt att slippa få inboxen fylld av diverse konsultmail vars rubrik varit något i stil med ”85 dagar kvar till GDPR, är ditt företag redo?”, även om vissa frukostseminarium varit trevliga att närvara vid ska tilläggas.
Hur mycket pengar har ni avsatt för era GDPR-förberedelser?
– Runt 100.000 kronor skulle jag gissa.
Hur nyttjar ni GDPR som en affärsmöjlighet?
– Genom att visa våra kunder att vi tar deras integritet på stort allvar är givetvis något som vi ser som en styrka. Jag själv skulle garanterat ifrågasätta seriosieteten i ett företag som helt ignorerat GDPR och därför vara skeptisk till att inleda en kundrelation med en sådan aktör.