Låt inte GDPR-arbetet falla i glömska!

Nu har det snart gått ett år sedan den nya dataskyddsförordningen trädde i kraft. Datainspektionen ägnade stor del av 2018 åt att hantera de drygt 200 000 personuppgiftsincidenter som rapporterats in till myndigheten av företag. En personuppgiftsincident innebär att personuppgifter kommit på villovägar, raderats av misstag eller på annat sätt hanteras felaktigt. Datainspektionen rapporterar att den tveklöst vanligaste orsaken som uppgivits är den ”mänskliga faktorn”. Det visar i sin tur tydligt på att det råder osäkerhet kring hur man som hållare av data ska göra för att göra rätt och att flertalet företag än så länge saknar rutiner och interna riktlinjer för hur personuppgiftsbehandling ska hanteras.

Inför den 25 maj förra året lade många företag ner stora mängder tid och pengar på arbetet med att se till att organisationen levde upp till de krav lagen ställer. Man ägnade sig åt kartläggningar, analyser och, kanske framför allt, på att sätta samman policies som skulle beskriva hur organisationen behandlar personuppgifter. En central del av den nya förordningen handlar inte bara om att man ska göra rätt, utan också om att man ska kunna visa att man gör rätt, vilket gör dokumentation extra viktig. Att färdigställa policyn och publicera den på hemsidan blev för många företag slutmålet, då ansåg man sig vara färdig med ”GDPR-arbetet”. Men GDPR-anpassning är inte ett projekt som kan klarmarkeras. Det är ett pågående arbete som måste utgöra en del av den löpande verksamheten.

Vi på IPQ hör ofta av de företag vi träffar att man är lättad över att ”GDPR-arbetet är över så att vi kan fokusera på verksamheten igen”. Vad de företagen missar är att processer och rutiner för behandling av personuppgifter måste utgöra en del av den dagliga verksamheten och inte vara något ”vid sidan om”. Det måste vara något som alla anställda är medvetna om och inte något som ett fåtal i organisationen arbetar med. Om man som företag inte ser till att verksamheten faktiskt anpassas till de regler vi nu har haft i ett år (och i 20 år innan dess genom den tidigare lagstiftningen) kommer all den tid och de pengar som spenderades inför den 25 maj 2018 vara bortkastade. Då kommer arbetet att behöva göras om inom kort.

Nu har Datainspektionen tagit fram en tillsynsplan för 2019-2020 där man bl.a. ska titta på hur samtycke används som grund för behandling och hur arbetsgivare behandlar sina anställdas personuppgifter. Följaktligen områden som rör i princip alla verksamheter. Myndigheten har redan inlett tillsyn av en rad verksamheter och det lär snabbt bli fler.

Så hur kan du göra rätt?

För att säkerställa att frågor om personuppgiftsbehandling prioriteras i verksamheten bör datasäkerhet, processer och rutiner för personuppgiftsbehandling lyftas till ledningsgruppsnivå och företag bör löpande utbilda och informera personalen inom dessa områden.

IPQ har lång och gedigen erfarenhet av arbete med integritetsfrågor och att driva projekt. Vi vet hur lätt det är att fastna när man kommer till själva implementeringen och hur viktigt det är att man faktiskt gör vad lagen kräver.

Vi vet vad som krävs och har därför tagit fram en checklista med de viktigaste punkterna för att komma framåt i implementeringsarbetet:

  • Processer – Sätt upp interna riktlinjer och processer så att det är tydligt vilket ansvar alla har vid t.ex.en säkerhetsincident
  • Dokumentera – GDPR handlar inte bara om att göra rätt utan också om att kunna visa att man gör rätt – se till att både processer och information till de registrerade (t.ex. dataskyddspolicy) är dokumenterade.
  • Ansvar – informera internt om vilket ansvar de anställda har för personuppgiftsbehandlingen som sker på bolaget så att alla känner individuellt ansvar.
  • Kommunicera – informera både internt och externt om hur personuppgiftsbehandling på företaget går till.

Relaterat innehåll

Hur hindrar vi någon från att stjäla vår affärsidé?

Hur hindrar vi andra från att stjäla vår affärsidé? Det är en fråga vi får ofta. Det ”enkla” svaret är att det är svårt att skydda en affärsidé. Att frågan uppstår är inte konstigt, i och med att innovation blir mer och mer affärsmodellsdrivet så är frågan aktuell för de flesta företag. Men, med traditionell […]

Protecting trade marks in relations to retail services in China

Registering trade marks in relation to retail services is now a widely accepted practice in most countries – but not in China.  In China, the Trademarks Office (CTMO) accepts applications for registration in relation to retail services only in certain specific and limited cases. There are, however, signs that things are changing. This article describes […]

IP and the Business Model Canvas.

”Can we protect our business model?” That is probably the most common question professionals in the Intellectual Property (IP) space are being asked. And the most people with significant experience of working with IP and IP professionals in general would give probably give you the same answer. That it is not possible. This answer is […]

”Det är oftast lättare att fatta beslut om patent än att inte göra det”

Vad är er teknologi värd? Stora investeringar görs i teknologi och IP, men alltför ofta saknar investeringarna en tydlig koppling till värdeskapande. Detta är problematiskt av många skäl, men framförallt eftersom det leder till ett ineffektivt utnyttjande av resurser på företagen, som i brist på tydliga värderingar av deras tillgångar baserar sina investeringsbeslut på andra […]

”Last-mover advantage” – en affärsmässig realitet utan IP-kontroll

Fintech-bolag (”Financial Technology”) håller på att förändra världen med nya, innovativa affärsmodeller. Det finns en uppfattning att Fintech-bolagens stora konkurrensfördelar, unika kombinationer av modern teknik och affärsmodeller, är svåra att skydda med traditionell IP. Att företagen på den grunden avstår från att skapa kontroll med IP gör att framgångskoncept blir relativt lätta att kopiera för […]