Dataskyddsförordningen juridisk guide

Dataskyddsförordningen

Uppfyll kraven & undvik höga böter

Dataskyddsförordningen från EU är tvingande. Vilka följder för din verksamhet? Whitepaper: Juridisk guide till efterlevnad av Dataskyddsförordningen, ta del av vår experts tips i 5 steg.

Dataskyddsförordningen som börjar gälla 2018 innebär nya stränga krav med möjlighet för nationella tillsynsmyndigheterna att döma ut höga böter. Vi har i ett tidigare inlägg gjort en sammanfattning över vad dataskyddsförordningen innebär, som du kan läsa här.

  • De nya kraven kommer att innebära att företagen kommer att behöva agera samordnat och utifrån en affärsförankrad strategi.
  • Det kommer ställas högre krav på att företag och andra organisationer informerar om hur den enskildes personuppgifter hanteras.
  • Det kommer i förordningen finnas krav på att tillhandahålla information om den enskilde på att transparent och lättförståeligt sätt.

I och med den nya förordningen kommer det att ställas krav på att företag informerar den nationella tillsynsmyndigheten när personuppgifter har hackats, eller till och med informera den enskilde direkt om risken är hög för att den enskildes rättigheter och friheter kan skadas. Detta kan vara uppgifter som hackats kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.

5 åtgärder för att följa Dataskyddsförordningen

Nu när förordningen är antagen har företag bara två år på sig att följa lagen, fram till årsskiftet 2017-2018. Detta är inte något som de flesta företag är beredda på eller har kunskap om.

Vi ser idag redan en stor efterfrågan från stora som små företag att ta vår hjälp med att se över sina processer och system.

Mina tips på hur företagen bäst kan förbereda sig och ställa om sin organisation redan nu:

  1. Gör frågan om dataskydd till en ledningsgruppsfråga, så att strategiska beslut tas med förankring i vad dataskyddsförordningen innebär i ansvar och konsekvenser. Framförallt, bör ledningen erkänna den centrala roll som användarinformation och användarfeedback spelar inom digitaliserade bolag med stor användarbas. De nya kraven bör implementeras särskilt med tanke på affärsnyttan så att inte inhämtning och användning av användardata – och därmed online konvertering och tillväxt – i onödan försvåras. Inte heller ska kunden och slutkunden drabbas av alltför komplex information eller process, allt handlar i slutändan om att förtjäna kundförtroende.
  2. Utse ett personuppgiftsombud. Detta är motiverat om ditt företag är ett större företag eller om företaget hanterar ett stor antal personuppgifter för registrerade. Personuppgiftsombudet ska få tillräckliga resurser och insyn, de ska kunna utföra sitt uppdrag på ett självständigt och oberoende sätt och de ska rapportera till högsta ledningen. (I tidigare utkast till datskyddsförordningen var det ett krav för företag över 250 anställda m.m., men detta har nu överlåtits till de olika medlemsländerna att besluta om.)
  3. Säkerställ att ni avsätter både tid och budget under åren 2016 och 2017 så att företaget får förutsättningar att agera proaktivt i denna omställning och göra de förändringar som krävs planerat och strukturerat.
  4. Kartlägg var inom organisationen man hanterar känslig information, vilka registeringsflöden ni har på er hemsida och hur era appar samlar in data. Tänk på att att informationen finns i både IT-systemen och inom skilda verksamhetsprocesser (HR, CRM-system, företagets IT-tjänster, hemsidor m.m.).
  5. Ta hjälp tidigt i processen. Det finns både IT-bolag och juristfirmor som redan nu jobbar med Dataskydsförordningen för att kunna hjälpa företagen med allt från planer, processer, utbildningar till informationssäkerhet och systemförändringar. Glöm inte bort affärsnyttan och hur er användning av personuppgifter och användardata driver tillväxt – släpp inte kontrollen och överblicken i denna så strategiska fråga!

Rutiner att se över

Förordningen ska garantera att dataskydd ingår i produkter och tjänster redan från ett tidigt utvecklingsstadie.”Data protection by design and default”. Här ser vi att ett personuppgiftsombud kan agera som advisor till företagens Product Marketing Manager, eller Produktchef.

Företagen kommer att vara skyldiga att både under beslut om på vilket sätt data ska behandlas, och under själva behandlingen, att införliva lämpliga dataskyddsprinciper t. ex. dataminimering. Förordningen tar ett flertal gånger upp psedonymisering som exempel sådan säkerhetsåtgärd. De kan kommenteras att Kommisionen nämner detta som att reglerna är inovationsanpassade men att de är utformade som skyldighet.

Förordningen ger den enskilda rätten till uppgiftsportabilitet. Företag ska vid förfrågan kunna utge de personuppgifter om en enskild till denne så att uppgifterna kan överföras till en annan tjänsteleverantör. Om det är tekniskt möjligt ska detta ske direkt till den nya leverantören

Läs mer

Om du vill ta del av vår sammanfattning av Dataskyddsförordningen, se vårt tidigare inlägg här.

 

Vad har du för frågor? Jag är nyfiken på vad du tänker på så dela gärna med dig och lämna en kommentar så svarar jag på den så snart jag kan.

Tack att du tar dig tid att läsa detta, du får gärna dela inlägget om du tyckte att det var till hjälp.

För att veta mer om Sharp Cookie Advisors, eller om du har frågor om personuppgifter, personuppgiftsombud, eller behöver hjälp att förbereda ert företag för EU:s Dataskyddsförordning, klicka här.

  • Share on:

One Comment, RSS

  1. Ernesto

    Tack Sofia för en bra artikel. Jag tycker att det är spännande att, det trotts att det nu gått flera år, fortfarande finns så många som inte har insett vad det innebär att inte ha koll på sin data. Jag tror att det behöver ske flera bötesfällningar för företag som inte efterlever kraven för att företag och allmänheten skall förstå hur pass viktigt det är. Jag vet flertalet föreningar som inte efterlever kravet och som inte förstår att det gäller även dem. Det är den vanligaste kommentaren som jag får när jag tar upp GDPR frågan i de föreningar som jag är verksam i… ” det gäller ju inte föreningar, bara företag. Vi kan ju inte hålla på med sånt, det fattar ju alla”. Total katastrof för en förening om de skulle led till en fällande dom för att de brustit i kontrollen av personuppgifter. Många publicerar medlemsmatriklar utan att tillfrågat medlemmen om de godkänner att namnet publiceras osv osv.

    Tack för artikeln

    /Ernesto

Your email address will not be published. Required fields are marked *

*