Pragmatisk approach till GDPR

Den 25:e maj 2018 träder en ny lag i kraft. EU:s Dataskyddsreform börjar då gälla som lag i alla EU:s medlemsstater. När detta sker kommer den att ersätta nationella regler såsom den svenska Personuppgiftslagen (PuL). Med några enkla steg kan du redan nu börja förbereda och säkra upp din organisation inför den stundande förändringen.

  • Vad får den nya lagen för praktiska konsekvenser för individen?
  • Vad händer fram tills den 25:e maj 2018?
  • Vad är då syftet med den nya Dataskyddsreformen?
  • Vad kan jag göra redan nu?

Med den nya förordningen vill EU harmonisera och modernisera den lagstiftning, i unionen, som hanterar personuppgifter. Förordningen omfattar i princip alla företags och organisationers behandling av personuppgifter.

Praktiska förbättringar för den enskilde individen

Om man ser lite mera pragmatiskt på det vi vet idag kring själva förordningen, vad är det då som lagstiftarna vill uppnå i det verkliga livet för den enskilde medborgaren?

  • Ta med dina uppgifter. En registrerad person får rätt att få sina personuppgifter ”paketerade” och överförda till en annan leverantör (Dataportabilitet).
  • Mera insyn och ett tydligare samtycke. Personuppgifterna får bara användas till för de ändamål som de är insamlade för.
  • Säkrare för barn. Onlinetjänster måste få föräldrarnas samtycke innan de låter barn under 16 år gå med i en tjänst.
  • Lättare att utöva dina rättigheter och klaga. Om det uppstår problem med hur dina personuppgifter hanteras så kan du kontakta Datainspektionen även om ditt klagomål rör ett bolag i ett annat europeiskt land.
  • Större sanktionsmöjligheter. En organisation som missköter hanteringen av personuppgifter, kan av Datainspektionen få administrativa sanktionsavgifter utfärdade.
  • Rätten att bli glömd. Registrerad kan under vissa omständigheter har rätt att få sina personuppgifter raderade. Vad händer fram tills den 25:e maj 2018?

All svensk lagstiftning inom förordningens tillämpningsområde måste ses över. Här kan nämnas att Justitiedepartementet har tillsatt en egen utredning och den skall enligt plan vara klar i juni 2017. Varje sakdepartement har dessutom ansvar för att se över hur den nya förordningen påverkar deras respektive författningar.

Här föreligger det tillsvidare en risk att det kommer ske förändringar, i befintlig lagstiftning, under hela perioden fram till dess att förordningen träder i kraft. Bara detta är en av de viktigare anledningarna till att hålla sig uppdaterad och informerad om vad som sker i ämnet.

Vilka sanktioner väntar för de som inte följer förordningen?

Sanktioner kommer att baseras på vilken grad av förordningen som inte efterlevs. Sanktionsmässigt kan företag och organisationer utdelas allt från skriftlig varning, återkommande tillsyn av verksamheten till skadestånd samt böter. Bötesbelopp på upp till 20 000 000 euro eller upp till 4 procent av verksamhetens globala årsomsättning kan bli aktuellt.

Förberedelser är nyckel till framgång

Redan idag kan vi konstatera att EU:s nya Dataskyddsförordning kommer påverka de flesta bolag som har anställda eller privatpersoner som kunder. Det kommer att ställas krav på nya rutiner och processer, för säker hantering av register och helt nya krav på ansvar i ledningsnivå. Det är viktigt att inte göra detta till en fråga för den lokala IT-avdelningen, utan att fråga hanteras som den kvalitetsfråga det är.

Aktiviteter som bör startas omgående hos all företag och organisationer

  • Se över eventuell befintlig eller utforma en ny enkel strategi för hur verksamheten skall arbeta med dataskyddsfrågor
  • Inventera organisationens interna rutiner, policys, vägledningar etc.
  • Starta kartläggning över alla behandlingar av personuppgifter, även de som sker hos tex outsourcingpartners
  • Påbörja ett register över de behandlingarna som redan sker
  • Utveckla rutiner för att anmäla och informera om dataskyddsincidenter
  • Se över vilken information som behöver gå till redan registrerade
  • Privacy by default bör redan nu tas med såväl vid design av egna nya lösningar som när applikationer köps som tjänster via externa partners
  • Etablera processer för att de registrerade på ett enkelt sätt ska kunna utöva sina rättigheter
  • Ställ krav mot externa leverantörer
  • Följ utvecklingen inom området!

Missionpoint grundades 2015 och består av konsulter med gedigen erfarenhet inom förändringsledning, IT-organisation och moderna IT- och systemlösningar. Vår mission är att fånga möjligheterna med modernare, effektivare och smartare sätt att designa, producera och konsumera IT.
Att ständigt utmana det traditionella och ligga steget före.