Nya dataskyddsförordningen – kom igång redan nu

Det har varit tal om den länge, men i och med beslutet om EU:s nya Allmänna dataskyddsförordning förändras spelreglerna märkbart för hur europeiska organisationer sparar, hanterar och utbyter personuppgifter. Förordningen kommer också att påverka företag utanför EU som gör affärer med EU-medborgare. Det innebär nästan alla stora e-handelsaktörer i världen.

Här följer några av anledningarna till varför du inte bör vänta tills förordningen träder i kraft den 25 maj 2018 med att komma igång.

Det står i lagen

Dataskyddsförordningen blir lag i samtliga EU-länder och berörda företag förväntas följa reglerna så fort den börjar gälla.

Sanktionsavgifter och påföljder

Dataskyddsförordningen omfattar en nivåbaserad sanktionsstruktur där ett företag kan tvingas betala upp till 2 % av sin omsättning i avgift om deras uppgiftsregister inte följer reglerna (artikel 28), de inte anmäler dataintrång till tillsynsmyndigheten och den registrerade (artiklar 31 och 32) eller om tillämpliga konsekvensbedömningar inte utförs (artikel 33). Brott mot grundläggande dataskyddsprinciper (artikel 5) och villkoren för samtycke (artikel 7) kan medföra en sanktionsavgift på 4 %.

Risk för stämning

De registrerade har rätt att begära rättslig prövning mot personuppgiftsansvariga och personuppgiftsbiträden, samt rätt till kompensation från personuppgiftsansvariga eller personuppgiftsbiträden för skador som uppkommit till följd av brott mot dataskyddsförordningen.

Komplicerade strukturer

Förändringar kommer att behöva genomföras inom alla organisationer, vad gäller såväl policydokument, processer och avtal som tekniska och organisatoriska rutiner. Det innebär, enklare uttryckt, att du kommer att behöva förändra sättet du interagerar med både kunder och samarbetspartners.

Tekniska och organisatoriska styrmedel

Enligt artikel 24 ska den personuppgiftsansvariga genomföra ”lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning”. Om ditt företag redan är ISO 27001-certifierat är detta inget problem, men om ni bara har ett grundläggande informationsskydd på plats kommer de nya reglerna att innebära mycket arbete. Var och en av dessa processer måste dessutom dokumenteras.

Konsekvensbedömningar för dataskydd

Konsekvensbedömningar blir obligatoriska för organisationer där tekniker och processer används som kan innebära stora risker för de registrerades fri- och rättigheter.

Dataintrång

Det blir även obligatoriskt (artikel 33) att anmäla alla dataintrång till dataskyddsmyndigheten inom 72 timmar efter det att intrånget har upptäckts. Rutiner för säkerhetsincidenter och intrångsanmälan måste också upprättas, liksom för regelbundet underhåll och löpande tester.

Har vi lyckats övertyga dig om att det är bra att komma igång? Som ett första steg rekommenderar jag vår kurs Grundcertifiering – EU:s Allmänna dataskyddsförordning.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.