GDPR
GDPR (dataskyddsförordningen) påverkar alla branscher, företag och organisationer som hanterar personuppgifter
PwC guidar dig genom hela processen. Vad innebär GDPR och vad behöver du göra. Har ni behov av rådgivning kopplat till GDPR?
Vad är GDPR (dataskyddsförordningen)?
EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR, som trädde i kraft den 25 maj 2018 innebär bland annat hårdare krav på hantering av personuppgifter. Det ställs idag högre krav på rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå.
Nya dataskyddsförordningen gäller för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.
GDPR medför ökade krav
Efter fyra långa år av politiska förhandlingar och lobbying kom EU-kommissionen, EU-parlamentet och ministerrådet överens om dataskyddsförordningen (GDPR). De företag som inte följer förordningen riskerar bland annat kraftiga sanktionsavgifter. De ökade kraven innebär i många fall omfattande anpassningsåtgärder. Krav på bl.a. incidentrapporteringsrutiner, genomförande av konsekvensbedömningar och att samma hanteringsregler gäller för personuppgifter i ostrukturerat material kräver ordning och reda och att det finns en god kontroll och ett ändamålsenligt dataskydd.
Ett ändamålsenligt dataskydd ökar förtroendet
GDPR uppfattas ofta som krävande och något som innebär väldigt mycket arbete. Det finns däremot en hel del fördelar med att vidta åtgärder för att stärka dataskyddet.
Att ha ett ändamålsenligt dataskydd ökar förtroendet hos kunder och bidrar till ökad transparens gentemot kunder kring vilken information som hanteras om dem. Genom en kartläggning av vilka personuppgifter som hanteras inom organisationen får ni ökad ordning och reda och genom att identifiera ändamålen med personuppgiftshanteringen kan det resultera i att ni inser att mycket information är onödig. Detta kan i sin tur skapa synergieffekter i form av ökad effektivitet genom att vissa processer kan effektiviseras.
Vad kan PwC hjälpa dig med?
Känner du att din organisation behöver stöd i att slutföra ert anpassningsarbete till GDPR? Skulle det kännas tryggt med en extern genomgång av de åtgärder ni har vidtagit? Eller behöver ni stöd i angränsande delar som vanligen kräver extra kompetenser och som stärker upp ert totala dataskydd? Vi kan hjälpa er med alla dessa delar! Exempel på vad ni behöver genomföra för att stärka upp dataskyddet:
- Gap-analys hur GDPR påverkar er och vilka åtgärder ni behöver vidta
- Stöd i er implementering av identifierade åtgärder för att anpassa verksamheten till GDPR
- Upprättande och test/övning av incidentrapporteringsrutiner
- Genomförande av konsekvensbedömningar
- Genomlysning av säkerheten i er IT-miljö
- Pen-test: tester av er IT-miljö genom exempelvis penetrationstester
- Analys av tredjepartsrisk
Vill du ha hjälp?
Kontakta oss så hjälper vi dig med anpassningen till dataskyddsförordningen.
Vad din organisation behöver ha på plats
Se vilka områden du behöver se över och anpassa.
Organisation
Styrelse och ledningsgrupp har ett ansvar för att bedöma och hantera de risker som organisationen är utsatt för. Sanktionsrisken är en av de nya riskerna som ledningen måste ha kontroll över samt ha ett dataskyddsombud på plats i de fall det krävs. Utöver eventuellt dataskyddsombud bör det även finnas en funktion med dataskyddskompetens för att stötta verksamheten i frågor som rör dataskydd.
Dokumentation
Hanteringen av samtliga personuppgifter behöver vara dokumenterad. Det innefattar bland annat vilken typ av information som organisationen har tillgång till, hur länge den sparas, laglig grund och var informationen lagras. Dokumentationen är även viktig om tillsynsmyndigheten skulle genomföra en granskning, för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven. Utöver ett register över behandlingar bör det finnas en intern dataskyddspolicy som reglerar hur era medarbetare får hantera personuppgifter samt informativa texter riktade till registrerade i syfte att vara transparent mot dem och uppfylla deras rättighet till information.
Processer
Eventuellt behöver nya processer finnas på plats för att uppfylla kraven, och i vissa fall räcker det med justeringar av tidigare processer. Exempel på detta är incidenthanteringsprocess, process för genomförande av konsekvensbedömningar och processer för säker hantering av personuppgifter. Ni behöver även ha sett över avtalen med leverantörer som får tillgång till personuppgifter och upprätta personuppgiftsbiträdesavtal med berörda parter. Det behöver även finnas processer och rutiner för att snabbt och enkelt kunna besvara förfrågningar från registrerade, exempelvis förfrågningar om registerutdrag.
IT
För att få god kontroll över vilka personuppgifter som hanteras behöver ni göra en kartläggning över IT-system och se över hur personuppgifter överförs till andra system, parter och till länder utanför EU/EES. Ni behöver även tillse att ni har inbyggt dataskydd och dataskydd som standard i system och processer.
Från kartläggning till incidenthantering
- Kartlägg: Vilka personuppgifter hanterar du, hur och varför?
- Analysera: Vilka är integritetsriskerna och vilken skada kan de orsaka?
- Rådfråga: Vilka intressenter behöver du rådfråga?
- Designa: Hur ska du bygga in integritetsskydd från början i dina processer?
- Dokumentera: Hur ska du bevisa att du uppfyller kraven?
- Engagera: Vilken information ska du ge till allmänheten och anställda, och behövs samtycken?
- Utmaning: Hur ska du hantera incidenter, problem och klagomål?
- Tillse: Hur ska du säkerställa kunders och anställdas rättigheter och tillsyn?
- Sanktioner: Hur ska du klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav?
FAQ
Här hittar du svar på några av de vanligaste frågorna gällande förordningen.
Vilka är de största skillnaderna mot tidigare PuL?
Dataskyddsförordningen innebär bland annat:
För myndigheter och sådana företag som hanterar en stor mängd känsliga personuppgifter eller systematiskt övervakar privatpersoner krävs en ny roll: dataskyddsombud
Krav på omedelbar rapportering av integritetsbrott
Krav på dokumentation, uppföljning och riskanalyser
Krav på att ett högt integritetsskydd byggs in från början i processer och system
Ökade rättigheter för de personer som registreras, inklusive rätt att kräva skadestånd
Nya villkor för att överföra personuppgifter till länder utanför EU-området
Ökade sanktioner för den som inte efterlever förordningen
Samma hanteringsregler gäller för personuppgifter i ostrukturerat material
Vilka sanktioner väntar för den som inte följer förordningen?
Det beror på i vilken grad förordningen inte efterlevs. Är det en mindre förseelse riskeras ett påpekande eller föreläggande om eventuella brister. Om brottet anses vara allvarligare, eller om företaget anses ovilligt att vidta nödvändiga åtgärder, riskeras böter upp till 4% av företagets eller moderbolagets globala omsättning.
Rimlighetsbedömningar kommer att göras från fall till fall och hänsyn kommer att tas till omsättning, i vilken utsträckning företaget har försökt åtgärda brister, transparens och graden av vilja att genomföra förändringar för att förebygga och åtgärda brister.
Måste vi radera all tidigare insamlad data om våra kunder?
Ja, finns det inget syfte med att spara personuppgifterna längre eller om det saknad laglig grund ska de raderas.
Hur ser samordningen ut mellan GDPR med andra regulatoriska krav?
GDPR gäller om ingen annan lagstiftning kräver något annat.
Hjälpmedel och råd för anpassning till dataskyddsförordningen
Här har vi samlat information och länkar till dig för att hjälpa dig i arbetet med anpassningen till dataskyddsförordningen.
