FCG / Erbjudande / Aktuella ämnen / Dataskyddsförordningen (GDPR)

Dataskyddsförordningen (GDPR)


Den nya dataskyddsförordningen, som är direktverkande inom EU, har nu trätt i kraft. Förordningen har ersatt personuppgiftslagen (PuL) och innebär utökade rättigheter för enskilda och skärpta krav för företag vid behandling av personuppgifter.

Förordningen ställer stora krav på företagens hantering av personuppgifter och kommer leda till förändringar inom såväl organisation, IT, processer och styrning. Regleringen innebär dels att de tidigare kraven skärps, dels att nyheter och förändringar tillkommit.  Företag bör därför ha vidtagit åtgärder för att anpassa sin verksamhet till förordningens krav och för att inte riskera sanktioner, som kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen. Mot bakgrund av omfattningen av de förändringar som följer av regleringen bör det interna anpassningsarbetet nu i alla fall vara påbörjat.

De viktigaste konsekvenserna

De viktigaste förändringarna som följer av den nya dataskyddsförordningen kan brytas ner i följande punkter:

  • Enskildas rättigheter stärks
  • Privacy by Design (dataskydd som standard)
  • Hårdare krav kring samtycke
  • Skärpta sanktioner vid överträdelser
  • Krav på åtgärder vid personuppgiftsincidenter
  • Krav på konsekvensbedömning/riskanalys (PIA)
  • Hårdare regler vid gränsöverskridande behandling
  • Utökade krav på ansvar och roller (Organisation)
  • Nationell reglering och nationella val

Vad ni som inte riktigt är i mål bör fokusera på

För att säkerställa efterlevnad med den nya förordningen krävs det att förändringsarbetet inleds i tid. Nedan redogör vi för några saker som ni behöver säkerställa för att påbörja och på ett effektivt komma framåt i arbetet.

För upp frågan på ledningsnivå. Ledningen måste få förståelse för vad förordningen och de förändringar som följer av den innebär vad gäller både ansvar och konsekvenser (ansvar för verksamheten och höga sanktioner om förordningen inte följs).

Kartlägga företagets personuppgiftshantering. Enda sättet att veta vilka gap mot  reglering/krav det specifika företaget har är att inventera/kartlägga hur nulägessituationen ser ut avseende hantering av personuppgifter. Det sagda gäller särskilt känsliga personuppgifter då hantering av sådana är förknippade med strängare krav.

Genomför en GAP-analys. För att möjliggöra anpassning av verksamheten till förordningens krav är det grundläggande att genomföra en analys, exempelvis utifrån GAP-metodik, för att jämföra hur personuppgifter behandlas i dag mot målbilden, dvs. förordningens- och interna krav.

Se över organisation och roller samt utse personuppgiftsombud. Det kommer krävas en tydlig intern organisation kring verksamhetens personuppgiftsbehandling och därmed även en tydlig ansvarsfördelning. Kunskapen kring de krav som följer av förordningen kommer behöva genomsyra såväl ledning och beslutsfattare som affären och de som operativt arbetar med personuppgiftshantering. Om företaget har en omfattande hantering av personuppgifter kräver förordningen att ett personuppgiftsombud utses som ska tilldelas tillräckliga resurser.

Analysera IT-miljön och påbörja förändringsarbetet. En central del i förberedelserna är hur den befintliga IT-miljön påverkas. Det är därför viktigt att tidigt genomföra en IT-genomlysning för att identifiera vilka IT-system och databaser som hanterar vilka personuppgifter och var dessa lagras. Ett område som är särskilt viktigt att beakta är att systemen lever upp till Privacy by Design.

Säkerställ att tid och budget avsätts och påbörja implementering. Då  det är potentiellt stora förändringar som behöver genomföras så är det viktigt att sätta av resurser och pengar. Implementeringen omfattar införande av rutiner och processer, styrdokument, IT-anpassning, juridisk översyn till förändrade roller och ansvar.

Ta hjälp. För att anpassa verksamheten på ett effektivt och kostnadsbesparande sätt är det viktigt att ta hjälp direkt då förordningen redan börjat gälla. FCG har en etablerad expertgrupp inom området som har stor ämneskunskap och bred erfarenhet av regelverksanpassningsarbete. FCG har vidare effektiva metoder och arbetssätt för att bistå företag utifrån dess storlek, komplexitet och behov.

Hur kan FCG hjälpa

FCG erbjuder hjälp till företag med råd och stöd samt implementering av förordningens krav, vilket innebär att anpassa den specifika verksamheten utifrån de förändringar och krav som regleringen medför. FCG har etablerade effektiva metoder och angreppssätt för att bistå er utifrån storlek, komplexitet och behov. FCG:s erbjudande är heltäckande och tjänsterna sträcker sig från inledande GAP-analyser, inventering av informationssystem eller personuppgiftsbehandling till förstudie, implementerings- och förvaltningsprojekt.

Vi har sammanställt de viktigaste förändringarna och vad de innebär, vilka åtgärder företag behöver vidta samt vad vi kan erbjuda. Klicka på länken till höger.

Vill du veta mer?

Image

Jeanette Lundius

Manager
Compliance
+46 76 649 11 51
jeanette.lundius@fcg.se