GDPR: Hög tid förbereda för nya dataskyddslagen
I april 2016 beslutade EU om ett nytt regelverk, även känt som GDPR, för behandling av personuppgifter. Ett drygt år senare har många företag ännu inte lyft ett finger, trots att det är en fråga som bör genomsyra hela organisationen.
– Förordningen påverkar alla bolag och myndigheter. Det kan gälla listor över anställda eller kundregister, att man lagrar IP-adresser eller använder e-post. Att tänka att det här berör inte mig och mitt företag är helt feltänkt, säger Johanna Persson, IT- och immaterialrättsjurist på Magnusson Advokatbyrå.
Läs också: Få är oroliga för digitaliseringen
Mycket fokus har hittills legat på de mångmiljonbelopp i sanktionsavgifter som hotar företag som missköter sig, men Johanna Persson tycker att det är viktigt att påminna om att syftet i grunden är gott eftersom förordningen handlar om rätten till privatliv och rätten till skydd av personuppgifter. Cyberattacker eller den mänskliga faktorn kan få förödande konsekvenser för enskilda individer om ingen tar ansvar för datasäkerheten.
– God personuppgiftshantering skapar dessutom konkurrensfördelar, kan ha värdehöjande effekter och ökar förtroendet för företag.
Enligt Johanna Persson är skillnaderna heller inte så stora som man skulle kunna tro jämfört med den nuvarande personuppgiftslagen, PUL.
– Många bolag lever inte upp till PUL, då blir steget extra långt. De som redan arbetar för att efterleva PUL har det bättre förspänt.
Johanna Perssons tips på handlingsplan
1 Utse en projektgrupp. Det bör också utses en person internt som äger frågan. Även om man tar in någon externt så kommer personhanteringen att fortsätta även när konsulten slutat sitt jobb. Därutöver måste någon hålla koll på de nya vägledningar som ges ut.
2 Kartlägg personuppgifterna. Var lagrar vi uppgifterna? Kanske på molntjänster, kanske skickas uppgifter utomlands? Det finns olika typer av kartläggningsprogram som man bör använda sig av, men det är farligt att enbart förlita sig på tekniska lösningar.
3 Analysera och åtgärda. Hur ser det ut inom vår organisation nu? Vilka åtgärder behöver vidtas och vilka program behöver köpas in? Gå igenom avtal, policys, riktlinjer, informationstexter, IT-lösningar etc.
4 Utbilda personalen. När policys och riktlinjer är upprättade är det extremt viktigt att både personal och ledning har kännedom om vad som gäller. Exempelvis ska ingen ha tillgång till mer uppgifter än vad som behövs i arbetet och alla bör veta vad en personuppgiftsincident är.
5 Följ upp. Den tekniska utvecklingen går snabbt framåt och det måste man hela tiden ta hänsyn till. Även om man har en bra brandvägg i dag, så måste den uppdateras kontinuerligt. Rutiner och system behöver testas och nya medarbetare som anställs behöver utbildas.
Liten ordlista
GDPR. Förkortning av General Data Protection Regulation, som är det engelska namnet på den allmänna dataskyddsförordningen.
Personuppgiftsansvarig (PA). Den som ensam eller tillsammans med andra bestämmer ändamålen, det vill säga syftet med, och medlen för behandlingen av personuppgifter. PA är nästan alltid en juridisk person, en myndighet, ett företag eller en organisation. PA är skadeståndsansvarig.
Personuppgiftsbiträde (PB). Den som behandlar personuppgifter för PA:s räkning. PB kan bli skadeståndansvarig om denne har brutit mot de bestämmelser i förordningen som specifikt riktar sig till biträden eller har behandlat personuppgifter i strid med PA:s instruktioner.
Dataskyddsombud. Ersätter dagens personuppgiftsombud. Högre krav på särskild kunskap i lagstiftning och praxis kring dataskydd.
Personuppgiftsincidenter. En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Kan också handla om obehörigt röjande av eller obehörig åtkomst. Alla personuppgiftsincidenter måste anmälas till Datainspektionen.
Profilering. Förordningen gäller även när man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.
Källa: Datainspektionen
