10 steg till GDPR-överensstämmelse:Hur förberedd är du?

 

EU General Data Protection Regulation (GDPR) träder i kraft inom mindre än åtta månader, så nu är det dags att granska de åtgärder du har vidtagit för att uppnå överensstämmelse och vad du fortfarande behöver göra.

Du kan basera den översynen på Data Protection Commissioner’s (DPC) checklista för överensstämmelse, som sammanfattas här och beskriver vad organisationer behöver göra före tidsfristen den 25 maj 2018.

  • Lär dig om vad som kommer

Om du läser detta är du förmodligen bekant med GDPR. Men enligt vår GDPR-rapport, som publicerades i juli 2017, har endast 66 % av ledningen informerats om förordningen.

Ledningen kommer att ha mycket att säga till om hur organisationen förbereder sig för förordningen, så det är viktigt att de vet vad som kommer, vad de behöver göra och riskerna med att inte efterleva.Alla andra i organisationen som ansvarar för överensstämmelse och databehandling ska också förstå sina skyldigheter.

  • Bli ansvarig

Förordningen innehåller bestämmelser som främjar ansvarsskyldighet, så DPC uppmanar organisationer att göra en inventering av alla personuppgifter de håller och undersöka den enligt följande frågor:

  • Varför håller du det?
  • Hur fick du det?
  • Varför samlades den ursprungligen?
  • Hur länge kommer du behålla det?
  • Hur säkert är det, både när det gäller kryptering och tillgänglighet?
  • Delar du någonsin med tredje part, och på vilket sätt kan du göra det?
  • Granska personuppgifternas rättigheter

Uppgiftslämnare har ett antal rättigheter avseende hur organisationer samlar in och förvarar sina uppgifter.Till dessa hör:

  • Rätten att bli informerad
  • Rätten till rättelse
  • Rätten att radera
  • Rätten att begränsa bearbetningen
  • Rätten till dataöverförbarhet
  • Rätt att göra invändningar
  • Rätt till tillträde

De flesta av dessa rättigheter liknar dem i nuvarande dataskyddslagar, men det finns några betydande förändringar.Det är viktigt att bekanta sig med de förändringarna, och planera i enlighet med detta.

  • Kommunicera med personal och service-användare

Du är inte den enda som behöver veta om registrerades rättigheter.När du samlar personuppgifter från personal, kunder eller service-användare måste du informera dem om dess rättigheter.

  • Lär dig om lagliga skäl

Organisationer måste bevisa att de har en laglig grund att behandla data.De flesta organisationer använder för närvarande vanligt samtycke, men GDPR stärker reglerna för att få och behålla samtycke.

Det finns fem andra lagliga skäl för behandling av data:

  • Ett kontrakt med individen
  • Överensstämmelse med laglig skyldighet
  • Viktiga intressen
  • En offentlig uppgift
  • Rättmätiga intressen

Organisationer bör lära sig när dessa grunder kan sökas, och anpassa sina datainsamlingspolicyer på ett lämpligt sätt.

  • Ändra dina samtyckesförfrågningar

Det kommer att finnas tillfällen då samtycke är den mest lämpliga lagliga grunden, så du behöver veta hur det måste sökas. GDPR listar specifika krav på lagliga samtyckes begärande.

  • Forskning barn-samtycke policy

GDPR statuerar att barn inte kan ge lagligt samtycke eftersom de “kan vara mindre medvetna om riskerna, följderna och skyddsåtgärderna” av att dela data.Standard ålder då en person inte längre anses vara ett barn är 16, men förordningen tillåter medlemsstaterna att anpassa denna gräns till någonstans mellan 13 och 16.

Till exempel, Storbritannien, Irland och Spanien förväntas sätta åldern till 13, Tyskland och Nederländerna sätter den till 16, och Österrike väljer 14.

Datakontrollanter måste känna till åldern för samtycke i vissa länder och undvika att söka samtycke från någon under den tiden.

  • Utnämna en dataskydds-officer

GDPR anger att a data protection officer (DPO) bör övervaka en organisations datasäkerhetsstrategier och efterlevnadsprogram.

Trots att endast visa organisationer måste utse en DPO, Article 29 Working Party rekommenderar att alla organisationer utser en som en fråga om god praxis.

  • Planera för dataöverträdelser

En av de största utmaningarna som GDPR presenterar för organisationer är dess krav på meddelande om överträdelse. Organisationer måste rapportera dataöverträdelser till sin tillsynsmyndighet inom 72 timmar efter upptäckten, och ge dem så mycket detaljer som möjligt.

  • Antag en strategi för integritet-för-design

Organisationer bör anta ett skydd för personuppgifter genom att skydda personuppgifter. För att göra detta måste de göra en data protection impact assessment innan de genomför nya projekt eller initiativ.

DPIA hjälper organisationer att se hur förändringar i verksamheten kommer att påverka människornas integritet, och deras resultat kan användas för att förutse och mildra problem i god tid.

Få hjälp med att förbereda GDPR

Om du vill veta mer om att förbereda GDPR, bör du kolla på våra GDPR webbinarier.Varje presentation täcker en annan aspekt av förordningen, såsom dataflödesplanering, riskbedömningar och dataskydd genom design.

Vi kör vår första steget till GDPR efterlevnads webinar ett antal gånger under de närmaste månaderna.Presentationen förklarar grunderna i förordningen och vad du behöver göra innan deadline för efterlevnad.

Läs mer om GDPR webbinarier >>

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.