GDPR närmar sig med stormsteg - hur förberedd är du?

Det har knappast undgått någon att den nya dataskyddsförordningen om behandling av personuppgifter, GDPR, träder i kraft den 25 maj i år. Men vad innebär den nya förordningen i praktiken och vad är straffet om man inte följer den?

Den 25 maj närmar sig med stormsteg. Hittills har företag som har gjort en felaktig behandling av personuppgifter kommit lindrigt undan. Det ändras nu helt i samband med dataskyddsförordningen. Med GDPR kan företag framöver straffas med böter på upp till 20 miljoner euro eller upp till fyra procent av den globala årsomsättningen – och mindre företag utgör inget undantag. För dig som är IT-ansvarig är det med andra ord hög tid att se över er nuvarande behandling av personuppgifter.

Många krav som idag finns i personuppgiftslagen, PuL, kommer fortsätta att gälla enligt GDPR, men det finns även stora skillnader. Exempelvis innebär GDPR nya krav på dokumentation, uppföljning och riskanalyser på företagets behandling av personuppgifter. Dessutom måste ditt företag kunna visa att ni följer bestämmelserna i GDPR enligt det nya kravet om ansvarsskyldighet.

Höga böter och skadeståndsansvar under GDPR

Vid vissa överträdelser, till exempel om företagets register över personuppgiftsbehandling inte är komplett, kan sanktionerna uppgå till det högre av två procent av den globala årsomsättningen eller 10 000 000 euro. Vid allvarligare överträdelser, till exempel om ditt företag inte uppfyller kraven på rättslig grund för behandlingen, kan sanktionerna uppgå till det högre av fyra procent av den globala omsättningen eller 20 000 000 euro. I Sverige är det Datainspektionen som kommer att fatta beslut om sanktionsavgifterna.

Om det inträffar en säkerhetsincident, till exempel att personuppgifter har läckt ut genom dataintrång, måste ni enligt GDPR rapportera det till Datainspektionen inom 72 timmar. Ni kan även behöva informera de personer som drabbats. Om personer dessutom lider skada för att företaget har brutit mot reglerna i GDPR, exempelvis för att företaget inte hanterat personuppgifterna på ett tillräckligt säkert sätt, har de drabbade även rätt till skadestånd.

Viktiga utgångspunkter för korrekt behandling av personuppgifter enligt GDPR

En viktig utgångpunkt, som även gäller enligt PuL, är att personuppgifter inte är något som företaget ”äger” utan bara något som företaget behandlar. Utgångspunkten är alltid att individen äger sina personuppgifter. När ditt företag samlar in personuppgifter från individer måste ni bland annat uppge ändamålet för behandlingen. Ni får sedan inte spara uppgifterna längre än de behövs för att uppfylla ändamålet. Ni måste därför ha rutiner för att regelbundet radera personuppgifter som inte längre får lagras.

GDPR innebär även ökade rättigheter för de individer vars personuppgifter ni behandlar. De har till exempel rätt att få tillgång till information om ändamålet med behandlingen av deras personuppgifter, vilka uppgifter som finns lagrade om dem och hur länge de kommer att lagras samt rätt att få felaktiga personuppgifter rättade.

Ta kontroll över personuppgifterna och datasäkerheten

Med den nya lagstiftningen behöver ni ha kontroll över alla personuppgifter som behandlas i företaget, oavsett om dessa finns i dokument, i mail, i databaser, på interna servrar, i olika enheter eller i molnet. Den så kallade missbruksregeln, som enligt PuL medger enklare regler för behandling av personuppgifter i ostrukturerat material – såsom löpande text, ljud, bild, listor eller i e-post – försvinner helt med den nya förordningen.

För att kunna leva upp till de nya kraven bör leverantören av era IT-system ha arbetat med så kallad ”privacy by design”, dvs. inbyggt integritetsskydd. Det innebär bland annat att leverantören har tagit hänsyn till säkerhets- och integritetsfrågor redan vid utvecklingen av IT-systemen.

Ett första steg är att göra en översyn över all personuppgiftsbehandling i ditt företag. Först då får ni koll på om ni följer lagstiftningen eller om ni behöver vidta åtgärder.

Läs även checklistan där vi punktat 7 viktiga steg för att klara GDPR-anpassningen »

Denna artikel taggas

Tekniken bakom: Så funkar videostreaming

Att kunna strömma högupplöst video till telefonen, tv:n eller datorn är idag en självklarhet. Men hur funkar det egentligen?

6 december 2018

Fantastisk inifrån och ut

Varje år släpps åtta miljoner ton plast ut i våra hav. Som ett led i Dells miljöarbete fångas en del av den plasten nu upp för att användas i förpackningen till nya Dell XPS 13.

5 december 2018

Dustin vinner stort avtal med danska staten

Nyligen vann Dustin uppdraget att leverera datorer och tillbehör till danska Staten och Kommunernes Indkøbsservice (SKI). Ett avtal som beräknas vara värt cirka 500 miljoner danska kronor per år.

2 november 2018

Så blir staden smartare

Andelen människor i världen som bor i städer kommer att öka från fyra till fem miljarder fram till år 2030. Det ställer höga krav på allt från infrastruktur till hållbarhet och social omsorg. Städerna måste helt enkelt bli smartare.

11 oktober 2018

Så kommer 5G att revolutionera din vardag

Nästa generations mobilteknik, 5G, väntar alldeles runt hörnet. Den här gången blir det inte bara snabbare, mer och bättre, utan 5G har även potential att revolutionera ett antal teknikområden. Här ger vi fem exempel på hur 5G kommer att påverka vår teknikvardag.

1 oktober 2018

Styr datorn med tankekraft – och andra trender inom gränssnitt

Musarm och mobilnacke är kanske snart minnen blott när vi börjar interagera med vår teknik på nya sätt. Här är fem trender som kommer att förändra hur vi kontrollerar våra datorer och mobiler i en nära framtid.

26 september 2018