Den 25:e maj 2018 träder den nya dataskyddsförordningen (General Data Protection Regulation, GDPR) som påverkar hur organisationer hanterar personuppgifter i kraft. Eftersom behandling av personuppgifter genomsyrar de flesta verksamheter är det viktigt att påbörja arbetet redan nu.
Vi lever i en tidsålder där data är en av de mest värdefulla affärstillgångarna och en förutsättning för företag att kunna anpassa sina erbjudanden till marknaden och sina kunder. Persondata blir en viktig del, men det kan även missbrukas.
GDPR, som är en förkortning av General Data Protection Regulation, har som syfte att stärka skyddet av behandling av individers personuppgifter och samordna detta mellan EU:s medlemsstater.
Det gäller att förbereda sig
GDPR, som är en uppdatering och skärpning av PUL (Personuppgiftslagen) kommer ställa höga krav på den som behandlar och registrerar personuppgifter. Framför allt gäller det att ha kontroll på informationen. I förordningen finns något som kallas ”privacy by default” vilket i korthet betyder att ni måste känna till vad ni lagrar för uppgifter samt ha kännedom om de system som hanterar informationen, och du måste hitta svaren i god tid innan den 25 maj.
Uppfyller du inte regelverket riskerar man mycket höga sanktionsavgifter.
Vad behöver jag göra innan 25 maj?
- Skapa medvetenhet i organisationen – utbilda och informera din personal. Utse en person som är ansvarar för GDPR.
- Inventera och dokumentera Personuppgiftshandlingar – var kommer de ifrån? Var lagras dem och hur bearbetas dem och vem har tillgång till dem?
- Tänk igenom och dokumentera vilken rättslig grund som finns för behandlingen – se över dina sekretessavtal, andra avtal och kontrakt.
- Delge information till de registrerade.
- Ta fram rutiner för hur personuppgifterna är säkra och dokumentera detta.
- Säkerhet – hur ser din datasäkerhet ut och uppfyller IT-systemen kraven enligt GDPR?
- Har ni verksamhet i flera länder? Ta då reda på vad som gäller för respektive land och dokumentera detta.
- Ta fram och dokumentera rutin för personuppgiftsincident.