GDPR närmar sig med stormsteg - hur förberedd är du?

Det har knappast undgått någon att den nya dataskyddsförordningen om behandling av personuppgifter, GDPR, träder i kraft den 25 maj i år. Men vad innebär den nya förordningen i praktiken och vad är straffet om man inte följer den?

Den 25 maj närmar sig med stormsteg. Hittills har företag som har gjort en felaktig behandling av personuppgifter kommit lindrigt undan. Det ändras nu helt i samband med dataskyddsförordningen. Med GDPR kan företag framöver straffas med böter på upp till 20 miljoner euro eller upp till fyra procent av den globala årsomsättningen – och mindre företag utgör inget undantag. För dig som är IT-ansvarig är det med andra ord hög tid att se över er nuvarande behandling av personuppgifter.

Många krav som idag finns i personuppgiftslagen, PuL, kommer fortsätta att gälla enligt GDPR, men det finns även stora skillnader. Exempelvis innebär GDPR nya krav på dokumentation, uppföljning och riskanalyser på företagets behandling av personuppgifter. Dessutom måste ditt företag kunna visa att ni följer bestämmelserna i GDPR enligt det nya kravet om ansvarsskyldighet.

Höga böter och skadeståndsansvar under GDPR

Vid vissa överträdelser, till exempel om företagets register över personuppgiftsbehandling inte är komplett, kan sanktionerna uppgå till det högre av två procent av den globala årsomsättningen eller 10 000 000 euro. Vid allvarligare överträdelser, till exempel om ditt företag inte uppfyller kraven på rättslig grund för behandlingen, kan sanktionerna uppgå till det högre av fyra procent av den globala omsättningen eller 20 000 000 euro. I Sverige är det Datainspektionen som kommer att fatta beslut om sanktionsavgifterna.

Om det inträffar en säkerhetsincident, till exempel att personuppgifter har läckt ut genom dataintrång, måste ni enligt GDPR rapportera det till Datainspektionen inom 72 timmar. Ni kan även behöva informera de personer som drabbats. Om personer dessutom lider skada för att företaget har brutit mot reglerna i GDPR, exempelvis för att företaget inte hanterat personuppgifterna på ett tillräckligt säkert sätt, har de drabbade även rätt till skadestånd.

Viktiga utgångspunkter för korrekt behandling av personuppgifter enligt GDPR

En viktig utgångpunkt, som även gäller enligt PuL, är att personuppgifter inte är något som företaget ”äger” utan bara något som företaget behandlar. Utgångspunkten är alltid att individen äger sina personuppgifter. När ditt företag samlar in personuppgifter från individer måste ni bland annat uppge ändamålet för behandlingen. Ni får sedan inte spara uppgifterna längre än de behövs för att uppfylla ändamålet. Ni måste därför ha rutiner för att regelbundet radera personuppgifter som inte längre får lagras.

GDPR innebär även ökade rättigheter för de individer vars personuppgifter ni behandlar. De har till exempel rätt att få tillgång till information om ändamålet med behandlingen av deras personuppgifter, vilka uppgifter som finns lagrade om dem och hur länge de kommer att lagras samt rätt att få felaktiga personuppgifter rättade.

Ta kontroll över personuppgifterna och datasäkerheten

Med den nya lagstiftningen behöver ni ha kontroll över alla personuppgifter som behandlas i företaget, oavsett om dessa finns i dokument, i mail, i databaser, på interna servrar, i olika enheter eller i molnet. Den så kallade missbruksregeln, som enligt PuL medger enklare regler för behandling av personuppgifter i ostrukturerat material – såsom löpande text, ljud, bild, listor eller i e-post – försvinner helt med den nya förordningen.

För att kunna leva upp till de nya kraven bör leverantören av era IT-system ha arbetat med så kallad ”privacy by design”, dvs. inbyggt integritetsskydd. Det innebär bland annat att leverantören har tagit hänsyn till säkerhets- och integritetsfrågor redan vid utvecklingen av IT-systemen.

Ett första steg är att göra en översyn över all personuppgiftsbehandling i ditt företag. Först då får ni koll på om ni följer lagstiftningen eller om ni behöver vidta åtgärder.

Läs även checklistan där vi punktat 7 viktiga steg för att klara GDPR-anpassningen »

29 november 2017

Denna artikel taggas

Tre tips för ett bättre konferensrum

Hur många gånger har du inte kommit in i ett konferensrum där tekniken strulat? Det behöver verkligen inte vara så, här är några tips på hur du ska tänka för att slippa det i ditt nästa konferensrum.

18 februari 2019

Disaster Recovery borde vara lika självklart som en försäkring

Allt eftersom vi blir mer digitala så ökar även kraven på att vår IT fungerar. Disaster recovery är vad som skyddar dig om olyckan skulle vara framme.

18 februari 2019

Därför bör ditt nätverk vara molnmanagerat

Att underhålla företagets nätverk är inte alltid det enklaste, särskilt om man har flera kontor och arbetsplatser, en molnmanager lösning förenklar dock detta enormt.

17 februari 2019

Varför bör man köpa IT som tjänst?

Hela vårt samhälle rör sig allt mer åt att köpa allting som tjänst. Det är inte heller så konstigt då det ofta sparar både tid och pengar vare sig det rör sig om enkla saker eller komplicerade lösningar.

16 februari 2019

Tre tips på hur du blir mer hållbar

Att bli mer hållbar är idag något som krävs av både privatpersoner och företag, både vad gäller miljötänk och socialt ansvar. Så hur blir du då mer hållbar som företag? Se Dustins hållbarhetschef Stephanie Forsblom svara på dessa frågor.

15 februari 2019

Tre lärdomar från NRF 2019, världens största retail-mässa

I mitten av januari hölls världens största retail-mässa NRF i New York. Över 37 000 besökare från 99 länder kunde välja mellan ungefär 200 seminarier och botanisera på mässgolvet bland över 700 utställare från hela världen. Ungefär 400 mässbesökare hade kommit från Norden för att lära sig om nya, smarta sätt att väcka kundernas köplust.

14 februari 2019