GDPR

Vi guidar dig genom hela processen. Vad innebär dataskyddsförordningen och vad behöver du göra.

Vad innebär dataskyddsförordningen, GDPR?

Dataskyddsförordningen kommer att påverka alla branscher, företag och organisationer som hanterar personuppgifter.


EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR, som träder i kraft den 25.e maj 2018 innebär bland annat hårdare krav på hantering av personuppgifter. Det kommer att ställas krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. Nya dataskyddsförordningen kommer att gälla för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.
 

Medför ökade krav

Efter fyra långa år av politiska förhandlingar och lobbying har EU-kommissionen, EU-parlamentet och ministerrådet kommit överens om en gemensam text i den nya dataskyddsförordningen GDPR. De företag som inte följer förordningen riskerar bland annat sanktioner. Sanktionerna är bestämda och kan i värsta fall belasta organisationer som bryter mot lagkravet med viten upp till 4 procent av moderbolagets globala omsättning.
 

En möjlighet till transparens

Dataskyddsförordningen kan verka innebära en stor omställning, men den innebär också fördelar som till exempel transparens gentemot anställda och kunder. Genom att anpassa ert företag efter dataskyddsförordningen visar ni bland annat på att inget finns att dölja, och en certifiering uppmuntras av tillsynsmyndigheterna. Företag eller organisationer som certifierats får rätt att använda ett sigill, ”det europeiska sigillet för dataskydd”, som kan användas i marknadskommunikationen. Certifieringen som utförs av ackrediterade tillsynsmyndigheter gäller i tre år men kan dras tillbaka om innehavaren inte lever upp till sina åtaganden.

Vill du ha hjälp?

Kontakta oss så hjälper vi dig med anpassningen till dataskyddsförordningen

 

Vad du behöver göra

Se vilka områden du behöver se över och anpassa.
Organisation, dataskyddsförordningen | PwC

Organisation

Styrelsen och koncernledningen har ansvar för att bedöma och hantera de risker företaget är utsatt för. Sanktionsrisken är en av de nya riskerna som ledningen måste ha kontroll över samt utse dataskyddsombud i de fall de krävs.

Dokumentation, dataskyddsförordningen| PwC

Dokumentation

Du behöver dokumentera hur anställdas och privatkunders personuppgifter hanteras. Det innefattar vilken typ av information ni har tillgång till, vilka personer och funktioner som har tillgång till den samt i vilka system och databaser den faktiskt finns. Dokumentationen är även viktig om tillsynsmyndigheten skulle genomföra en granskning, för att kunna visa på vilka åtgärder ni vidtagit och hur pass väl ni uppfyller kraven.

processer, dataskyddsförordningen | PwC

Processer

Som ett första steg behöver ni kartlägga era befintliga processer för att identifiera var personuppgifter hanteras och vilka integritetsrisker som finns. Eventuellt kan nya processer behövas tas fram för att uppfylla kraven, och i vissa fall räcker det med justeringar. Ni behöver även se över avtalen med underleverantörer som sköter IT-driften.

IT, dataskyddsförordningen | PwC

IT

Ni behöver göra en kartläggning över era IT-system och var personuppgifter lagras, hur de överförs till andra system, parter och till länder utanför EU-området. Ni behöver också se över om det finns nödvändiga rutiner för att kunna informera kunder och anställda om vilka uppgifter som lagras, samt snabbt och enkelt kunna korrigera eventuella felaktigheter samt radera uppgifter.

Från kartläggning till incidenthantering

  1. Kartlägg: Vilka personuppgifter hanterar du, hur och varför?
  2. Analysera: Vilka är integritetsriskerna och vilken skada kan de orsaka?
  3. Rådfråga: Vilka intressenter behöver du rådfråga?
  4. Designa: Hur ska du bygga in integritetsskydd från början i dina processer?
  5. Dokumentera: Hur ska du bevisa att du uppfyller kraven?
  6. Engagera: Vilken information ska du ge till allmänheten och anställda, och behövs samtycken?
  7. Utmaning: Hur ska du hantera incidenter, problem och klagomål?
  8. Tillse: Hur ska du säkerställa kunders och anställdas rättigheter och tillsyn?
  9. Sanktioner: Hur ska du klara de allvarligaste regulatoriska sanktionerna och skadeståndskrav?

FAQ

Här hittar du svar på några av de vanligaste frågorna gällande förordningen.

Ersätter dataskyddsförordningen PuL?
Ja, man kan säga att förordningen ersätter PuL, men det kommer att ta två år från det att förordningen formellt fastställts innan eventuella viten och skadeståndskrav baserade på de nya kraven, utdöms. Under tiden dömer domstolar enligt de nuvarande reglerna (PuL).


Vilken är den största skillnaden mot tidigare (PuL)?
Alla krav i PuL, förutom anmälningsplikten att anmäla till Datainspektionen att man hanterar personuppgifter, finns kvar i den nya förordningen. Dataskyddsförordningen kommer bland annat att innebära:

  • Myndigheter och sådana företag som hanterar en stor mängd känsliga personuppgifter eller systematiskt övervakar privatpersoner kommer en ny roll att krävas: Data Protection Officer 
  • Krav på omedelbar rapportering av integritetsbrott
  • Nya krav på dokumentation, uppföljning och riskanalyser
  • Krav på att ett högt integritetsskydd byggs in från början i processer och system
  • Ökade rättigheter för de personer som registreras, inklusive rätt att kräva skadestånd
  • Nya villkor för att överföra personuppgifter till länder utanför EU-området
  • Ökade sanktioner för den som inte efterlever förordningen


När börjar den nya förordningen gälla?
Förordningen gäller fullt ut och ersätter PuL från och med den 25 maj 2018. Då ska ni uppfylla kraven för att inte riskera skadeståndskrav eller sanktioner. Tiden fram till den 25 maj 2018 är avsedd för anpassning till de nya kraven.
 

Vilka sanktioner väntar för den som inte följer förordningen?
Det beror på i vilken grad förordningen inte efterlevs. Är det en mindre förseelse riskeras ett påpekande eller föreläggande om eventuella brister. Om brottet anses vara allvarligare, eller om företaget anses ovilligt att vidta nödvändiga åtgärder, riskeras böter upp till 4% av företagets eller moderbolagets globala omsättning. Rimlighetsbedömningar kommer att göras från fall till fall och hänsyn kommer att tas till omsättning, i vilken utsträckning företaget har försökt åtgärda brister, transparens och graden av vilja att genomföra förändringar för att förebygga och åtgärda brister.
 

Hur ser samordningen ut mellan GDPR mot befintliga regulatoriska krav såsom banksekretessen och Patientdatalagen?
Man kan säga att ny och befintlig lag ”överlappar” varandra. Vissa lagar ses över för att troligen anpassas till den nya förordningen. I de fall andra lagar har krav som inte finns i EU:s förordning gäller dessa lagar. Europeiska förordningen gäller om ingen annan lagstiftning kräver något annat.
 

Hur ser nya dataförordningen på s.k. ”ostrukturerad data” d.v.s. känslig information som inte är sökbar i en databas. Omfattas även denna typ av information av förordningen?
I motsats till befintliga Personuppgiftslagen (PUL), så finns inget undantag för ”ostrukturerad data” i förordningen. Den är teknikneutral och gäller därför även hantering av personuppgifter i form av ex. pappersdokument eller lokalt lagrade Excel-filer.

 

Hjälpmedel och råd för anpassning till dataskyddsförordningen

Här har vi samlat information och länkar till dig för att hjälpa dig i arbetet med anpassningen till dataskyddsförordningen.

Kontakta oss

Ida Westin

Tel 0728-80 90 12
Email

Göran Laxén
Integritetsskydd och informationssäkerhet
Tel 0709-29 19 29
Email

Sofie Åberg
Associate Cyber Security
Tel 0766-37 61 35
Email

Följ oss