EU:s dataskyddsförordning General Data Protection Regulation, GDPR, trädde i kraft den 25 maj 2018 och innebär bland annat hårdare krav på hantering av personuppgifter. Det ställs i dag höga krav på rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. Kraven gäller för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.
Privacy, eller integritet på svenska, handlar om individens rätt att skydda sin personliga information och själv bestämma över vilken information som delas med andra. Det handlar också om att skydda sin rätt till privatliv och att kunna agera fritt utan att bli övervakad eller störd. Privacy är en grundläggande mänsklig rättighet och en förutsättning för demokrati och den enskilda människans frihet.
För företag är integritetshantering en viktig del av att skapa och bibehålla förtroende från kunderna. Genom att säkerställa att kundernas personuppgifter skyddas på rätt sätt kan företag bygga en lojal kundbas, skydda sig mot potentiella säkerhetsrisker och följa gällande lagstiftning.
Se vilka områden du behöver se över och anpassa.
Styrelse och ledningsgrupp har ett ansvar för att bedöma och hantera de risker som organisationen är utsatt för. Sanktionsrisken är en av de nya riskerna som ledningen måste ha kontroll över samt ha ett dataskyddsombud på plats i de fall det krävs. Utöver eventuellt dataskyddsombud bör det även finnas en funktion med dataskyddskompetens för att stötta verksamheten i frågor som rör dataskydd.
Hanteringen av samtliga personuppgifter behöver vara dokumenterad. Det innefattar bland annat vilken typ av information som organisationen har tillgång till, hur länge den sparas, laglig grund och var informationen lagras. Dokumentationen är även viktig om tillsynsmyndigheten skulle genomföra en granskning, för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven. Utöver ett register över behandlingar bör det finnas en intern dataskyddspolicy som reglerar hur era medarbetare får hantera personuppgifter samt informativa texter riktade till registrerade i syfte att vara transparent mot dem och uppfylla deras rättighet till information.
Eventuellt behöver nya processer finnas på plats för att uppfylla kraven, och i vissa fall räcker det med justeringar av tidigare processer. Exempel på detta är incidenthanteringsprocess, process för genomförande av konsekvensbedömningar och processer för säker hantering av personuppgifter. Ni behöver även ha sett över avtalen med leverantörer som får tillgång till personuppgifter och upprätta personuppgiftsbiträdesavtal med berörda parter. Det behöver även finnas processer och rutiner för att snabbt och enkelt kunna besvara förfrågningar från registrerade, exempelvis förfrågningar om registerutdrag.
För att få god kontroll över vilka personuppgifter som hanteras behöver ni göra en kartläggning över IT-system och se över hur personuppgifter överförs till andra system, parter och till länder utanför EU/EES. Ni behöver även tillse att ni har inbyggt dataskydd och dataskydd som standard i system och processer.
Dataskyddsförordningen innebär bland annat:
För myndigheter och sådana företag som hanterar en stor mängd känsliga personuppgifter eller systematiskt övervakar privatpersoner krävs en ny roll: dataskyddsombud
Krav på omedelbar rapportering av integritetsbrott
Krav på dokumentation, uppföljning och riskanalyser
Krav på att ett högt integritetsskydd byggs in från början i processer och system
Ökade rättigheter för de personer som registreras, inklusive rätt att kräva skadestånd
Nya villkor för att överföra personuppgifter till länder utanför EU-området
Ökade sanktioner för den som inte efterlever förordningen
Samma hanteringsregler gäller för personuppgifter i ostrukturerat material
Det beror på i vilken grad förordningen inte efterlevs. Är det en mindre förseelse riskeras ett påpekande eller föreläggande om eventuella brister. Om brottet anses vara allvarligare, eller om företaget anses ovilligt att vidta nödvändiga åtgärder, riskeras böter upp till 4% av företagets eller moderbolagets globala omsättning.
Rimlighetsbedömningar kommer att göras från fall till fall och hänsyn kommer att tas till omsättning, i vilken utsträckning företaget har försökt åtgärda brister, transparens och graden av vilja att genomföra förändringar för att förebygga och åtgärda brister.
Ja, finns det inget syfte med att spara personuppgifterna längre eller om det saknad laglig grund ska de raderas.
GDPR gäller om ingen annan lagstiftning kräver något annat.
PwC har tecknat ett globalt samarbete med startup-bolaget Harvey, vilket innebär att PwC:s specialister inom juridik kan använda Harveys AI-plattform. Samarbetet skapar nya möjligheter till teknikdrivna juridiska lösningar och effektivisering av kundernas interna processer.
Läs pressmeddelandet
"För att bygga en effektiv och konkurrenskraftig privacyorganisation behövs en tydlig struktur och styrning som genomsyrar hela verksamheten. Det krävs också en bredd av olika kompetenser, inklusive jurister, dataanalytiker, systemutvecklare och säkerhetsexperter, som samarbetar och lär av varandra."
2023-03-27
"Privacy by design" och "privacy by default" myntades som uttryck i och med att GDPR blev aktuellt. Många bolag kämpar fortfarande med att förhålla sig till begreppen. Går det att skapa konkurrensfördelar med hjälp av cybersäkerhet och privacy?
Under detta 45 minuter långa pass diskuterar vi hur cyber och privacy tillsammans kan bli en konkurrensfördel och vilka möjligheter som tvärfunktionella samarbeten skapar.
Från PwC Sverige: Jenny Forsberg.
2023-03-07
Se inspelningen som handlar om AI, privacy, innovation och etik. Hur kommer EU:s förslag till AI Act att påverka utvecklingen av AI i Europa? Går det att ligga i framkant avseende teknikutveckling och samtidigt ta hänsyn till etiska överväganden och dataskyddsprinciper?
Känner du att din organisation behöver stöd i arbetet med GDPR, privacy och dataskydd? Skulle det kännas tryggt med en extern genomgång av de åtgärder ni har vidtagit? Eller behöver ni stöd i angränsande delar som vanligen kräver extra kompetenser och som stärker upp ert totala dataskydd? Exempel på insatser som kan stärka dataskyddet:
Vill du ha hjälp?
På PwC hjälper vi våra kunder att identifiera och hantera risker relaterade till integritetshantering, samt utveckla processer och kontroller för att skydda personuppgifter på ett korrekt sätt.
Kontakta oss så hjälper vi dig!
Läs mer om PwC:s tjänster inom