Låt inte GDPR-arbetet falla i glömska!

Nu har det snart gått ett år sedan den nya dataskyddsförordningen trädde i kraft. Datainspektionen ägnade stor del av 2018 åt att hantera de drygt 200 000 personuppgiftsincidenter som rapporterats in till myndigheten av företag. En personuppgiftsincident innebär att personuppgifter kommit på villovägar, raderats av misstag eller på annat sätt hanteras felaktigt. Datainspektionen rapporterar att den tveklöst vanligaste orsaken som uppgivits är den ”mänskliga faktorn”. Det visar i sin tur tydligt på att det råder osäkerhet kring hur man som hållare av data ska göra för att göra rätt och att flertalet företag än så länge saknar rutiner och interna riktlinjer för hur personuppgiftsbehandling ska hanteras.

Inför den 25 maj förra året lade många företag ner stora mängder tid och pengar på arbetet med att se till att organisationen levde upp till de krav lagen ställer. Man ägnade sig åt kartläggningar, analyser och, kanske framför allt, på att sätta samman policies som skulle beskriva hur organisationen behandlar personuppgifter. En central del av den nya förordningen handlar inte bara om att man ska göra rätt, utan också om att man ska kunna visa att man gör rätt, vilket gör dokumentation extra viktig. Att färdigställa policyn och publicera den på hemsidan blev för många företag slutmålet, då ansåg man sig vara färdig med ”GDPR-arbetet”. Men GDPR-anpassning är inte ett projekt som kan klarmarkeras. Det är ett pågående arbete som måste utgöra en del av den löpande verksamheten.

Vi på IPQ hör ofta av de företag vi träffar att man är lättad över att ”GDPR-arbetet är över så att vi kan fokusera på verksamheten igen”. Vad de företagen missar är att processer och rutiner för behandling av personuppgifter måste utgöra en del av den dagliga verksamheten och inte vara något ”vid sidan om”. Det måste vara något som alla anställda är medvetna om och inte något som ett fåtal i organisationen arbetar med. Om man som företag inte ser till att verksamheten faktiskt anpassas till de regler vi nu har haft i ett år (och i 20 år innan dess genom den tidigare lagstiftningen) kommer all den tid och de pengar som spenderades inför den 25 maj 2018 vara bortkastade. Då kommer arbetet att behöva göras om inom kort.

Nu har Datainspektionen tagit fram en tillsynsplan för 2019-2020 där man bl.a. ska titta på hur samtycke används som grund för behandling och hur arbetsgivare behandlar sina anställdas personuppgifter. Följaktligen områden som rör i princip alla verksamheter. Myndigheten har redan inlett tillsyn av en rad verksamheter och det lär snabbt bli fler.

Så hur kan du göra rätt?

För att säkerställa att frågor om personuppgiftsbehandling prioriteras i verksamheten bör datasäkerhet, processer och rutiner för personuppgiftsbehandling lyftas till ledningsgruppsnivå och företag bör löpande utbilda och informera personalen inom dessa områden.

IPQ har lång och gedigen erfarenhet av arbete med integritetsfrågor och att driva projekt. Vi vet hur lätt det är att fastna när man kommer till själva implementeringen och hur viktigt det är att man faktiskt gör vad lagen kräver.

Vi vet vad som krävs och har därför tagit fram en checklista med de viktigaste punkterna för att komma framåt i implementeringsarbetet:

  • Processer – Sätt upp interna riktlinjer och processer så att det är tydligt vilket ansvar alla har vid t.ex.en säkerhetsincident
  • Dokumentera – GDPR handlar inte bara om att göra rätt utan också om att kunna visa att man gör rätt – se till att både processer och information till de registrerade (t.ex. dataskyddspolicy) är dokumenterade.
  • Ansvar – informera internt om vilket ansvar de anställda har för personuppgiftsbehandlingen som sker på bolaget så att alla känner individuellt ansvar.
  • Kommunicera – informera både internt och externt om hur personuppgiftsbehandling på företaget går till.

Relaterat innehåll

Hur hindrar vi någon från att stjäla vår affärsidé?

Hur hindrar vi andra från att stjäla vår affärsidé? Det här är en fråga vi får ofta. Det ”enkla” svaret är att det är svårt att skydda en affärsidé. I och med att innovation blir mer och mer affärsmodellsdrivet, så är frågan aktuell för de flesta företag. Men, med traditionell IP är det svårt att […]

PROTECTING TRADE MARKS IN RELATION TO RETAIL SERVICES IN CHINA

Registering trade marks in relation to retail services is now a widely accepted practice in most countries – but not in China.  In China, the Trademarks Office (CTMO) accepts applications for registration in relation to retail services only in certain specific and limited cases. There are, however, signs that things are changing. This article describes […]

Rouse VD intervjuas i Dagens industri (DI)

(Källa: Dagens Industri, 2020-05-18,”Piratkopior frodas i coronakrisen”) KINAS PIRATKOPIOR FRODAS I CORONAKRISEN HONGKONG. Trots att varuhandel över hela världen avstannat i spåren av virusutbrottet så har en kategori fortsatt att frodas: piratkopior från Kina. Det visar en ny undersökning som Di tagit del av.  Samtidigt anses piraterna vara snabbare på att haka på nya e-handelstrender […]

Värdefull data – myt eller verklighet?

Hela världen har blivit galen i data, och mängden data som samlas in ökar exponentiellt. Värdet av data kan verka uppenbart för alla, men faktum är att varje enskild datapunkt i sig nästan är värdelös; data blir värdefull först när den aggregerats, strukturerats och bearbetats. Detta faktum, tillsammans med några andra av datans unika egenskaper, har långtgående […]

Köp inte kejsarens nya kläder. Lär dig att hitta verkligt värde i innovation.

Vet ni värdet på de tillgångar som era investeringsobjekt sitter på, idag och i framtiden när ni gör er due diligence? Stora investeringar görs i start-ups och scale-up bolag, men sällan görs investeringarna utifrån kunskap om specifikt vilka tillgångar som finns i bolaget och hur dessa tillgångar bidrar till långsiktiga värden. Det finns många myter […]