GDPR närmar sig med stormsteg - hur förberedd är du?

Det har knappast undgått någon att den nya dataskyddsförordningen om behandling av personuppgifter, GDPR, träder i kraft den 25 maj i 2018. Men vad innebär den nya förordningen i praktiken och vad är straffet om man inte följer den?

Den 25 maj närmar sig med stormsteg. Hittills har företag som har gjort en felaktig behandling av personuppgifter kommit lindrigt undan. Det ändras nu helt i samband med dataskyddsförordningen. Med GDPR kan företag framöver straffas med böter på upp till 20 miljoner euro eller upp till fyra procent av den globala årsomsättningen – och mindre företag utgör inget undantag. För dig som är IT-ansvarig är det med andra ord hög tid att se över er nuvarande behandling av personuppgifter.

Många krav som idag finns i personuppgiftslagen, PuL, kommer fortsätta att gälla enligt GDPR, men det finns även stora skillnader. Exempelvis innebär GDPR nya krav på dokumentation, uppföljning och riskanalyser på företagets behandling av personuppgifter. Dessutom måste ditt företag kunna visa att ni följer bestämmelserna i GDPR enligt det nya kravet om ansvarsskyldighet.

Höga böter och skadeståndsansvar under GDPR

Vid vissa överträdelser, till exempel om företagets register över personuppgiftsbehandling inte är komplett, kan sanktionerna uppgå till det högre av två procent av den globala årsomsättningen eller 10 000 000 euro. Vid allvarligare överträdelser, till exempel om ditt företag inte uppfyller kraven på rättslig grund för behandlingen, kan sanktionerna uppgå till det högre av fyra procent av den globala omsättningen eller 20 000 000 euro. I Sverige är det Datainspektionen som kommer att fatta beslut om sanktionsavgifterna.

Om det inträffar en säkerhetsincident, till exempel att personuppgifter har läckt ut genom dataintrång, måste ni enligt GDPR rapportera det till Datainspektionen inom 72 timmar. Ni kan även behöva informera de personer som drabbats. Om personer dessutom lider skada för att företaget har brutit mot reglerna i GDPR, exempelvis för att företaget inte hanterat personuppgifterna på ett tillräckligt säkert sätt, har de drabbade även rätt till skadestånd.

Viktiga utgångspunkter för korrekt behandling av personuppgifter enligt GDPR

En viktig utgångpunkt, som även gäller enligt PuL, är att personuppgifter inte är något som företaget ”äger” utan bara något som företaget behandlar. Utgångspunkten är alltid att individen äger sina personuppgifter. När ditt företag samlar in personuppgifter från individer måste ni bland annat uppge ändamålet för behandlingen. Ni får sedan inte spara uppgifterna längre än de behövs för att uppfylla ändamålet. Ni måste därför ha rutiner för att regelbundet radera personuppgifter som inte längre får lagras.

GDPR innebär även ökade rättigheter för de individer vars personuppgifter ni behandlar. De har till exempel rätt att få tillgång till information om ändamålet med behandlingen av deras personuppgifter, vilka uppgifter som finns lagrade om dem och hur länge de kommer att lagras samt rätt att få felaktiga personuppgifter rättade.

Ta kontroll över personuppgifterna och datasäkerheten

Med den nya lagstiftningen behöver ni ha kontroll över alla personuppgifter som behandlas i företaget, oavsett om dessa finns i dokument, i mail, i databaser, på interna servrar, i olika enheter eller i molnet. Den så kallade missbruksregeln, som enligt PuL medger enklare regler för behandling av personuppgifter i ostrukturerat material – såsom löpande text, ljud, bild, listor eller i e-post – försvinner helt med den nya förordningen.

För att kunna leva upp till de nya kraven bör leverantören av era IT-system ha arbetat med så kallad ”privacy by design”, dvs. inbyggt integritetsskydd. Det innebär bland annat att leverantören har tagit hänsyn till säkerhets- och integritetsfrågor redan vid utvecklingen av IT-systemen.

Ett första steg är att göra en översyn över all personuppgiftsbehandling i ditt företag. Först då får ni koll på om ni följer lagstiftningen eller om ni behöver vidta åtgärder.

Läs även checklistan där vi punktat 7 viktiga steg för att klara GDPR-anpassningen »

19 mars 2018

Digital innovation inom retail: ICA:s perspektiv

Marvin Liljegren, Head of Culture på ICA, var en av talarna på vårt event Digital innovation inom retail och hjälpte till att besvara eventets huvudfråga: hur skapar man relevanta kundupplevelser i butik genom digital innovation?

7 maj 2019

Så får du alla att jobba mot samma mål

Framgångsrikt företagande kräver engagerade medarbetare. Hur lyckas man med det? Här är fem sätt att öka engagemanget på arbetsplatsen.

7 maj 2019

Internet är trasigt: ”Vrede och hat får störst spridning”

Hur påverkar sociala medier egentligen demokratin? Det undersöker författarna Martin Gelin och Karin Pettersson i nya boken Internet är trasigt – Silicon Valley och demokratins kris.

24 april 2019

7 heta prylar som visades på Dustin Expo 2019

Produktnyheterna var många på årets mässa. Här har vi samlat några av dem som fick mest uppmärksamhet.

1 april 2019

Dustin Expo 2019: Insikter från scenprogrammet

Nya produkter är bara en av anledningarna till att 10 000-tals besökare vallfärdar till Dustin Expo varje år. Någonting som lockar minst lika mycket är möjligheten att träffa branschens samlade expertis och lyssna på intressanta seminarier.

1 april 2019

Tre experter – många smarta tips

Under Dustin Expo så satte vi oss ned med flera intressanta personer för att ta del av deras insikter inom olika områden. Här är tre höjdpunkter om hållbarhet, säkerhet och framtidens digitala mötesrum.

1 april 2019