Vad är GDPR (dataskyddsförordningen)?
EU:s dataskyddsförordning General Data Protection Regulation, GDPR, trädde i kraft den 25 maj 2018 och innebär bland annat hårdare krav på hantering av personuppgifter. Det ställs i dag höga krav på rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. Kraven gäller för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.
Vad är privacy?
Privacy, eller integritet på svenska, handlar om individens rätt att skydda sin personliga information och själv bestämma över vilken information som delas med andra. Det handlar också om att skydda sin rätt till privatliv och att kunna agera fritt utan att bli övervakad eller störd. Privacy är en grundläggande mänsklig rättighet och en förutsättning för demokrati och den enskilda människans frihet.
För företag är integritetshantering en viktig del av att skapa och bibehålla förtroende från kunderna. Genom att säkerställa att kundernas personuppgifter skyddas på rätt sätt kan företag bygga en lojal kundbas, skydda sig mot potentiella säkerhetsrisker och följa gällande lagstiftning.
Vad din organisation behöver ha på plats
Se vilka områden du behöver se över och anpassa.
Organisation
Styrelse och ledningsgrupp har ett ansvar för att bedöma och hantera de risker som organisationen är utsatt för. Sanktionsrisken är en av de nya riskerna som ledningen måste ha kontroll över samt ha ett dataskyddsombud på plats i de fall det krävs. Utöver eventuellt dataskyddsombud bör det även finnas en funktion med dataskyddskompetens för att stötta verksamheten i frågor som rör dataskydd.
Dokumentation
Hanteringen av samtliga personuppgifter behöver vara dokumenterad. Det innefattar bland annat vilken typ av information som organisationen har tillgång till, hur länge den sparas, laglig grund och var informationen lagras. Dokumentationen är även viktig om tillsynsmyndigheten skulle genomföra en granskning, för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven. Utöver ett register över behandlingar bör det finnas en intern dataskyddspolicy som reglerar hur era medarbetare får hantera personuppgifter samt informativa texter riktade till registrerade i syfte att vara transparent mot dem och uppfylla deras rättighet till information.
Processer
Eventuellt behöver nya processer finnas på plats för att uppfylla kraven, och i vissa fall räcker det med justeringar av tidigare processer. Exempel på detta är incidenthanteringsprocess, process för genomförande av konsekvensbedömningar och processer för säker hantering av personuppgifter. Ni behöver även ha sett över avtalen med leverantörer som får tillgång till personuppgifter och upprätta personuppgiftsbiträdesavtal med berörda parter. Det behöver även finnas processer och rutiner för att snabbt och enkelt kunna besvara förfrågningar från registrerade, exempelvis förfrågningar om registerutdrag.
IT
För att få god kontroll över vilka personuppgifter som hanteras behöver ni göra en kartläggning över IT-system och se över hur personuppgifter överförs till andra system, parter och till länder utanför EU/EES. Ni behöver även tillse att ni har inbyggt dataskydd och dataskydd som standard i system och processer.
Från kartläggning till incidenthantering
- Kartlägg: Vilka personuppgifter hanterar du, hur och varför?
- Analysera: Vilka är integritetsriskerna och vilken skada kan de orsaka?
- Rådfråga: Vilka intressenter behöver du rådfråga?
- Designa: Hur ska du bygga in integritetsskydd från början i dina processer?
- Dokumentera: Hur ska du bevisa att du uppfyller kraven?
- Engagera: Vilken information ska du ge till allmänheten och anställda, och behövs samtycken?
- Utmaning: Hur ska du hantera incidenter, problem och klagomål?
- Tillse: Hur ska du säkerställa kunders och anställdas rättigheter och tillsyn?
- Sanktioner: Hur ska du klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav?
Vilka är de största skillnaderna mot tidigare PuL?
Dataskyddsförordningen innebär bland annat:
För myndigheter och sådana företag som hanterar en stor mängd känsliga personuppgifter eller systematiskt övervakar privatpersoner krävs en ny roll: dataskyddsombud
Krav på omedelbar rapportering av integritetsbrott
Krav på dokumentation, uppföljning och riskanalyser
Krav på att ett högt integritetsskydd byggs in från början i processer och system
Ökade rättigheter för de personer som registreras, inklusive rätt att kräva skadestånd
Nya villkor för att överföra personuppgifter till länder utanför EU-området
Ökade sanktioner för den som inte efterlever förordningen
Samma hanteringsregler gäller för personuppgifter i ostrukturerat material
Vilka sanktioner väntar för den som inte följer förordningen?
Det beror på i vilken grad förordningen inte efterlevs. Är det en mindre förseelse riskeras ett påpekande eller föreläggande om eventuella brister. Om brottet anses vara allvarligare, eller om företaget anses ovilligt att vidta nödvändiga åtgärder, riskeras böter upp till 4% av företagets eller moderbolagets globala omsättning.
Rimlighetsbedömningar kommer att göras från fall till fall och hänsyn kommer att tas till omsättning, i vilken utsträckning företaget har försökt åtgärda brister, transparens och graden av vilja att genomföra förändringar för att förebygga och åtgärda brister.
Måste vi radera all tidigare insamlad data om våra kunder?
Ja, finns det inget syfte med att spara personuppgifterna längre eller om det saknad laglig grund ska de raderas.
Hur ser samordningen ut mellan GDPR med andra regulatoriska krav?
GDPR gäller om ingen annan lagstiftning kräver något annat.
PwC i samarbete med Harvey för nya AI-lösningar
PwC har tecknat ett globalt samarbete med startup-bolaget Harvey, vilket innebär att PwC:s specialister inom juridik kan använda Harveys AI-plattform. Samarbetet skapar nya möjligheter till teknikdrivna juridiska lösningar och effektivisering av kundernas interna processer.
Läs pressmeddelandet
Se inspelade webbinarier
Cyber & Privacy-dagen
2023-03-27
Utveckla och skapa konkurrensfördelar med Cyber & Privacy
"Privacy by design" och "privacy by default" myntades som uttryck i och med att GDPR blev aktuellt. Många bolag kämpar fortfarande med att förhålla sig till begreppen. Går det att skapa konkurrensfördelar med hjälp av cybersäkerhet och privacy?
Under detta 45 minuter långa pass diskuterar vi hur cyber och privacy tillsammans kan bli en konkurrensfördel och vilka möjligheter som tvärfunktionella samarbeten skapar.
AI & etik när forskning möter juridik
2023-03-07
AI och etik – när forskning möter juridik
Se inspelningen som handlar om AI, privacy, innovation och etik. Hur kommer EU:s förslag till AI Act att påverka utvecklingen av AI i Europa? Går det att ligga i framkant avseende teknikutveckling och samtidigt ta hänsyn till etiska överväganden och dataskyddsprinciper?
Externa länkar
Vad kan PwC hjälpa dig med?
Känner du att din organisation behöver stöd i arbetet med GDPR, privacy och dataskydd? Skulle det kännas tryggt med en extern genomgång av de åtgärder ni har vidtagit? Eller behöver ni stöd i angränsande delar som vanligen kräver extra kompetenser och som stärker upp ert totala dataskydd? Exempel på insatser som kan stärka dataskyddet:
- Gap-analys: Vilken GDPR-mognad har ni? Hur kan den förbättras? Identifiering av åtgärder
- Implementeringsstöd av identifierade åtgärder
- Upprättande och test/övning av incidentrapporteringsrutiner
- Konsekvensbedömningar
- Analys av tredjepartsrisk
- Riskbedömning vid tredjelandsöverföringar
- Granskning av cookies-hantering
- Upprättande av styrdokument såsom registerförteckning, integritetspolicy och rutinbeskrivningar
- Granskning av hur registrerades rättigheter hanteras
- Workshops och utbildningar
