Låt inte GDPR-arbetet falla i glömska!

Nu har det snart gått ett år sedan den nya dataskyddsförordningen trädde i kraft. Datainspektionen ägnade stor del av 2018 åt att hantera de drygt 200 000 personuppgiftsincidenter som rapporterats in till myndigheten av företag. En personuppgiftsincident innebär att personuppgifter kommit på villovägar, raderats av misstag eller på annat sätt hanteras felaktigt. Datainspektionen rapporterar att den tveklöst vanligaste orsaken som uppgivits är den ”mänskliga faktorn”. Det visar i sin tur tydligt på att det råder osäkerhet kring hur man som hållare av data ska göra för att göra rätt och att flertalet företag än så länge saknar rutiner och interna riktlinjer för hur personuppgiftsbehandling ska hanteras.

Inför den 25 maj förra året lade många företag ner stora mängder tid och pengar på arbetet med att se till att organisationen levde upp till de krav lagen ställer. Man ägnade sig åt kartläggningar, analyser och, kanske framför allt, på att sätta samman policies som skulle beskriva hur organisationen behandlar personuppgifter. En central del av den nya förordningen handlar inte bara om att man ska göra rätt, utan också om att man ska kunna visa att man gör rätt, vilket gör dokumentation extra viktig. Att färdigställa policyn och publicera den på hemsidan blev för många företag slutmålet, då ansåg man sig vara färdig med ”GDPR-arbetet”. Men GDPR-anpassning är inte ett projekt som kan klarmarkeras. Det är ett pågående arbete som måste utgöra en del av den löpande verksamheten.

Vi på IPQ hör ofta av de företag vi träffar att man är lättad över att ”GDPR-arbetet är över så att vi kan fokusera på verksamheten igen”. Vad de företagen missar är att processer och rutiner för behandling av personuppgifter måste utgöra en del av den dagliga verksamheten och inte vara något ”vid sidan om”. Det måste vara något som alla anställda är medvetna om och inte något som ett fåtal i organisationen arbetar med. Om man som företag inte ser till att verksamheten faktiskt anpassas till de regler vi nu har haft i ett år (och i 20 år innan dess genom den tidigare lagstiftningen) kommer all den tid och de pengar som spenderades inför den 25 maj 2018 vara bortkastade. Då kommer arbetet att behöva göras om inom kort.

Nu har Datainspektionen tagit fram en tillsynsplan för 2019-2020 där man bl.a. ska titta på hur samtycke används som grund för behandling och hur arbetsgivare behandlar sina anställdas personuppgifter. Följaktligen områden som rör i princip alla verksamheter. Myndigheten har redan inlett tillsyn av en rad verksamheter och det lär snabbt bli fler.

Så hur kan du göra rätt?

För att säkerställa att frågor om personuppgiftsbehandling prioriteras i verksamheten bör datasäkerhet, processer och rutiner för personuppgiftsbehandling lyftas till ledningsgruppsnivå och företag bör löpande utbilda och informera personalen inom dessa områden.

IPQ har lång och gedigen erfarenhet av arbete med integritetsfrågor och att driva projekt. Vi vet hur lätt det är att fastna när man kommer till själva implementeringen och hur viktigt det är att man faktiskt gör vad lagen kräver.

Vi vet vad som krävs och har därför tagit fram en checklista med de viktigaste punkterna för att komma framåt i implementeringsarbetet:

  • Processer – Sätt upp interna riktlinjer och processer så att det är tydligt vilket ansvar alla har vid t.ex.en säkerhetsincident
  • Dokumentera – GDPR handlar inte bara om att göra rätt utan också om att kunna visa att man gör rätt – se till att både processer och information till de registrerade (t.ex. dataskyddspolicy) är dokumenterade.
  • Ansvar – informera internt om vilket ansvar de anställda har för personuppgiftsbehandlingen som sker på bolaget så att alla känner individuellt ansvar.
  • Kommunicera – informera både internt och externt om hur personuppgiftsbehandling på företaget går till.

Relaterat innehåll