Har du koll på GDPR?


25 maj 2018 kan tyckas långt fram men när det gäller GDPR är många företag ganska stressade.

Har du koll på GDPR – General Data Protection Regulation – EU:s nya Dataintegritetslagstiftning som träder i kraft 25 maj 2018?

Långt kvar till dess? Nja inte direkt – den nya lagen innebär en jätteomställning för många företag som hanterar personuppgifter och med tanke på att du kan få betala vite om upp till 20 miljoner euro om du inte uppfyller villkoren så är det hög tid att börja planera.

Lagen gäller alltså alla företag som bedriver verksamhet inom EU eller riktat mot EU-medborgare och som hanterar personuppgifter. Lagen har kommit till för att skydda konsumenternas integritet, inte för att underlätta för dig som registrerande företag.

Några av de viktigaste skyldigheterna i den nya lagen är:

Medgivande
Du måste alltid hämta ett godkännande från personen du ska registrera uppgifter om.

Tillgång
Personen har alltid rätt att ta del av uppgifterna du registrerat om denne. Och du måste så klart se till att det verkligen är rätt person du lämnar ut informationen till vid en förfrågan.

Rättning
Personen har rätt att få eventuell felaktig information korrigerad.

Radering
Personen har rätt att bli raderad ur dina register – och det även om den tidigare godkänt din registrering. En slags ångerrätt som du måste uppfylla.

Portabilitet
Personen har alltid rätt att begära att informationen du registrerat överlämnas till en annan part, till exempel en av dina konkurrenter för att personen vill byta leverantör.

I Sverige är det Datainspektionen som kommer att se till att lagen efterföljs och det är till dem du till exempel måste anmäla (inom 72 timmar) om personuppgifter kommit på avvägar.

Hur förbereder man sig för det här?
Ja, det har sagts att det här är en av de viktigaste uppgifterna för ledningsgrupper i större företag under 2017. För de allra flesta kommer det att ta tid att genomföra och det kommer inte att bli lätt. Och det väcker så klart en hel del frågor: Vilka och hur många av systemen i vår organisation innehåller personuppgifter? Hur hanterar vi tredje part, externa leverantörer och eventuella molntjänster? Vilka i vår organisation måste vi engagera – IT, Compliance, Produktion? Funkar det för oss om vi avidentifierar uppgifterna och istället pseudonymiserar dem?

Börja nu
Det viktigaste är att vara ute i god tid och se till att högsta ledningen är med på tåget. Sedan gäller det att tillsätta en projektgrupp som helt enkelt får kavla upp ärmarna och göra en ordentlig inventering av hur det ser ut i er organisation.

En ordentlig ”morot” kan så klart vara att inte riskera vite om 20 miljoner euro…

Published in category Kunskap