Hög tid för anpassning till GDPR
13 mars 2018
Den 25 maj 2018 träder den nya dataskyddslagen GDPR i kraft. Bolag som då inte följer de nya direktiven kan få böta upp till fyra procent av bolagets globala omsättning. Håkan Skyllberg, IT-revisor på BDO och expert på den nya lagen, ger tips på hur du kommer igång med att anpassa din verksamhet till GDPR.
EU:s nya dataskyddsförordning General Data Protection Regulation (GDPR) kommer att påverka alla företag som hanterar personuppgifter. För att undvika dryga böter och sura eftergifter är det nu hög tid att förbereda sin organisation inför att den nya lagen träder i kraft den 25 maj i år. De företag som inte följer den nya förordningen fullt ut kan få böta upp till 20 miljoner eller fyra procent av bolagets globala omsättning.
PUL är förändrad
Den svenska personuppgiftslagen (PUL) bygger på EU:s dataskyddsdirektiv från 1995. Sedan den lagen togs fram har den tekniska utvecklingen dramatiskt förändrat förutsättningarna för hur personuppgifter lagras och hanteras. – Mycket har hänt inom användningen av personuppgifter och tekniken sedan 1995, till exempel molntjänster och sociala medier. Gränslandet mellan teknik, juridik och ekonomi har ökat i komplexitet, vilket gör att det gamla dataskyddsdirektivet inte längre hänger med. PUL kommer nu helt och hållet att ersättas av GDPR, säger Håkan Skyllberg.
Högre krav för företagen
Med GDPR förtydligas och utökas den personuppgiftsansvariges ansvar och skyldigheter, samtidigt som den registrerades rättigheter förstärks. I praktiken går ägarskapet av informationen tillbaka till den registrerade individen. – Kraven ökar på registerförande organisationer och leverantörer av moln- eller traditionella outsourcingtjänster. Det är viktigt att se över hur samtycke inhämtas och att fundera över vilka konsekvenser förordningen kommer att få för verksamheten. Ett grundläggande tips är också att bygga in säkerheten från början. Med den nya lagen kan det komma att krävas nya processer, tekniska funktioner i systemen samt dokumentation som visar att man följer lagen, säger Håkan Skyllberg.
Håkans 10 tips för anpassning till GDPR
- Upprätta förteckning för register som innehåller personuppgifter.
- Gör risk- och konsekvensanalys för de register som innehåller känsliga uppgifter.
- Uppdatera policyer och rutiner så att det nya regelverket speglas i företagets eget arbete.
- Vid integritetsbrott ska tillsynsmyndigheten och den registrerade informeras inom 72 timmar. Vilka nya processer måste utarbetas för att säkerställa det?
- Se över hur samtycke inhämtas.
- Se över befintliga tekniska och organisatoriska åtgärder som vidtagits för att skydda personuppgifterna.
- Bygg in säkerheten i system och processer redan från början.
- Den registrerade har rätt till portabilitet. Ställer det krav på nya funktioner i era system idag?
- Med den nya lagen finns även ett långtgående ansvar för underleverantörer som måste följa reglerna på ett likartat sätt. Beakta skadestånds- och ansvarsåtaganden när avtal tecknas eller förnyas med outsourcingpartners och molntjänstleverantörer.
- Se över att ni inte lagrar mer information än vad som är tvunget och endast under en tidsperiod som kan anses vara nödvändig för det ursprungliga syftet.