25 maj 2018 kommer samtliga av EU:s medlemsländer beröras av en ny förordning om personuppgifter och dataskydd – kallad Allmänna dataskyddsförordningen (GDPR). Företag och organisationer måste förhålla sig till dessa för att undvika sanktionsavgifter som i praktiken ersätter den tidigare Personuppgiftslagen (PUL). Vite på upp till 20 miljoner euro kan begäras vid brott mot lagstiftningen, eller 4 % av ditt bolags totala omsättning. Generellt innebär GDPR högre krav om säkerhetsrutiner kring hanteringen av personuppgifter och det är klokt att redan nu börja fundera kring planering, förändring och implementering.
Vad är GDPR för något?
GDPR är en förkortning av General Data Protection Regulation, vilket benämns Allmänna dataskyddsförordningen på svenska.
Övergripande innebär denna förordning att det krävs samtycke för att samla in och behandla personuppgifter i verksamheten. Personer, vars uppgifter behandlas, har rätt till tillgång och justering av sina uppgifter. Individen kan även ställa krav på att uppgifterna ska tas bort ur registret. Verksamhetens syfte med datainsamlingen måste framgå tydligt, och eventuella dataintrång måste anmälas till nationella tillsynsmyndigheten inom tre dygn (72 timmar).
Hur ska vi uppfylla kraven?
Eftersom verksamheter behandlar personuppgifter på olika sätt idag finns inga gemensamma standarder för förändringsarbetet.
Policy och rutiner behöver sannolikt förändras eftersom verksamheter ska kunna visa hur förordningen följs. Samtidigt som kraven höjs ökar behovet av självständigt arbete och eget ansvarstagande.
GDPR inkluderar även ostrukturerad data. Med andra ord spelar det ingen roll om det är ett ”klassiskt” register eller löptext i ett dokument. Så länge en uppgift kan härledas till en fysisk person (genom exempelvis namn, bild eller IP-nummer) betraktas det som en personuppgift och omfattas därför också av den nya lagstiftningen. Dessutom krävs aktivt samtycke från individen som personuppgifterna gäller – vilket kräver tydlig information vid insamlingsstadiet. Du har också skyldighet att lämna registerutdrag och information om vilka uppgifter som behandlas om personen i fråga kräver det.
Tips för implementering
Det är lättare sagt än gjort att ha koll på alla nya regler. För att få allting på plats bör du upprätta en plan redan idag där högriskfaktorer bör prioriteras först. Förslag på implementeringsgång kan vara:
- Ge någon i ansvar att kontrollera och säkerställa att ändringarna kring dataskyddet utförs. Att en person har ett övergripande ansvar ökar sannolikt effektiviteten.
- Ta fram en nulägesrapport. Vilka uppgifter behandlar ni nu? Vilka system används?
- Gör en intern genomlyssning och identifiera vilka sektioner av organisationen som behöver prioriteras i arbetet.
- Personuppgiftsbiträdeslagen bör arbetas för genom uppdaterade avtal med samarbetspartners, leverantörer och kunder.
- Säkerställ att rätt personer har insyn i förändringsarbetet.
Tre viktiga punkter inför maj 2018
– Säkerhet. Kunduppgifter ska uppfylla kraven om informationssäkerhet, vilket i praktiken innebär att ni har kontroll på IT-system som behandlar känsliga uppgifter samt gallrar dessa med rimliga tidsspann.
– Register. Se till att verksamheten har ett register där det framgår 1) vilka personuppgifter som behandlas och 2) dokumentation som visar hur ni uppfyller personuppgiftslagstiftningen.
– Processer. Ni säkerställer att kundkommunikation (exempelvis e-post eller SMS) sker genom avtal, samtycke eller annan laglig grund.