• 10 tips att undvika dryga böter

10 tips att undvika dryga böter

12 maj 2016

Bolag som inte följer EU:s nya dataskyddslag — General Data Protection Regulation (GDPR) — kan få böta upp till fyra procent av bolagets globala omsättning eller upp till 20 miljoner euro i böter. Lagen, som ersätter Personuppgiftslagen (PUL), omfattar framförallt stärkt skydd för den registrerade och utökat ansvar för de som registrerar eller behandlar personuppgifter. Men för företag som är verksamma i flera EU-länder innebär den också förenklingar. BDO ger här en bakgrund och sammanfattning av reglerna samt tio tips för stegvis anpassning till den 25 maj 2018, då lagen skall vara tillämpad fullt ut.

Ny teknik kräver moderniserad lagstiftning

Nyligen enades EU-kommissionen, EU-parlamentet och EU-rådet om lagtexten och den nya lagen klubbades. Reglerna skall tillämpas i samtliga medlemsstater från och med den 25:e maj 2018.

-Nuvarande regelverk bygger på EUs dataskyddsdirektiv från 1995. I Sverige togs personuppgiftslagen (PUL) fram utifrån direktivet. Mycket har hänt inom teknikområdet sedan dess, till exempel behandling av personuppgifter i molntjänster och sociala medier. Gränslandet mellan teknik, juridik och ekonomi har ökat i komplexitet, säger Håkan Skyllberg, ansvarig för Information Assurance and Risk Services på BDO.

 

Skärpt ansvar och högre böter

Bland det som blir nytt för Sverige är att tillsynsmyndigheterna ska ta fram standardpolicyer som ger företag möjlighet att bli certifierade. De ska som tidigare även stötta organisationer med att i standarder, riktlinjer och allmänna råd utarbeta detaljerade tekniska och organisatoriska åtgärder som är nödvändiga för att skydda personuppgifter.

Kortfattat innebär lagen:

  • Den registrerade individens rättigheter utökas.
  • Kraven ökar på registerförande organisationer och leverantörer av moln- eller traditionella outsourcingtjänster.
  • Tillsynsmyndigheten får större ansvar: mandat att granska efterlevnad, besluta om sanktioner och samordning mellan medlemsstater.

En individ som drabbas av integritetsbrott har rätt till ersättning för skada om registerföraren inte följt förordningen. Men tillsynsmyndigheten har rätt att utfärda böter oavsett om någon lidit skada eller inte.

-Detta gör att förordningen sannolikt kommer att få mycket uppmärksamhet och hanteras på motsvarande sätt som lagen om penningtvätt och finansiering av terrorism, säger Håkan Skyllberg.

Så kallade administrativa böter kan dömas ut på en glidande skala upp till det som är högst av fyra procent av ett företags globala omsättning eller 20 miljoner euro, beroende på hur allvarliga avstegen bedöms vara.

 

10 tips för anpassning till 2018

  1. Upprätta förteckning för register som innehåller personuppgifter.
  2. Gör risk- och konsekvensanalys för de register som innehåller känsliga uppgifter.
  3. Uppdatera policyer och rutiner så att det nya regelverket speglas i företagets eget arbete.
  4. Vid integritetsbrott ska tillsynsmyndigheten och den registrerade informeras inom 72 timmar. Vilka nya processer måste utarbetas för att säkerställa det?
  5. Se över hur samtycke inhämtas.
  6. Se över befintliga tekniska och organisatoriska åtgärder som vidtagits för att skydda personuppgifterna.
  7. Bygg in säkerheten i system och processer redan från början.
  8. Den registrerades har rätt till portabilitet. Ställer det krav på nya funktioner i era system idag?
  9. Med den nya lagen finns även ett långtgående ansvar för underleverantörer som måste följa reglerna på ett likartat sätt. Beakta skadestånds- och ansvarsåtaganden när avtal tecknas eller förnyas med outsourcingpartners och molntjänstleverantörer.
  10. Se över att ni inte lagrar mer information än vad som är tvunget och endast under en tidsperiod som kan anses vara nödvändig för det ursprungliga syftet.

Behöver du stöd i ditt förändringsarbete kan BDO självklart hjälpa till. Kontakta gärna Håkan på 070-167 16 57 eller [email protected]