Photo by TheDigitalArtist on Pixabay
Vad är GDPR?
EU:s senaste GDPR undertecknades formellt den 25 maj 2018. Förordningen förväntas genomföras i alla EU-regioner. Det är ett krav för alla företag som säljer eller innehar personuppgifter om européer, liksom företag i andra länder. Detta gör det möjligt för EU-medborgarna att kontrollera personuppgifter och garantera skyddet för alla medborgare i hela Europa. Enligt EU:s direktiv GDPR innehåller personuppgifter information om personer inklusive namn, foton, e-postkonton, bankuppgifter, platsuppgifter, medicinsk information eller ip-adresser.
Konsekvenser för företag av GDPR
Denna förordning kommer att kräva att alla företag tar ett nytt grepp om datastyrning, efterlevnad och riskhantering. Företagen måste se till att de är uppdaterade om de senaste kraven för att på bästa sätt hantera sina risker och fortsätta att stödja sina intressenter. När tidsfristen för efterlevnad närmar sig kommer företagen att tvingas fatta kritiska beslut om hur de ska hantera sina uppgifter. Företagen står inför stora utmaningar. Böterna för bristande efterlevnad kan vara så höga som 20 miljoner euro eller 4 % av ett företags globala årsomsättning. Kostnaderna för efterlevnaden kan vara betydande och kan omfatta anställning av personal och införande av ny teknik. Eftersom kostnaderna för bristande efterlevnad är höga och sanktionerna ökar för varje år som går, kommer företagen att få allt större sannolikhet att hamna i en situation där de måste betala böter. Men genom att vidta rätt åtgärder nu kan företagen förbereda sig själva och sina organisationer för att följa den nya förordningen.
Är din arbetsplats redo för GDPR?
Många företag kämpar med frågan om deras arbetsplats är redo för GDPR-efterlevnad. Det korta svaret är ja, men för att se till att ditt företag uppfyller kraven måste du se till att det inte finns några luckor. Dessa luckor kan uppstå var som helst i din organisation, från toppen till botten, och det bästa sättet att förhindra att de uppstår är att se till att varje enskild individ är fullt medveten om sitt ansvar. När du väl vet var luckorna finns kan du börja åtgärda dem. För att se till att ditt företag följer GDPR fullt ut måste du se till att varje anställd är fullt medveten om sitt ansvar. Det finns ett antal konsekvenser för företag som inte uppfyller kraven. Det är avgörande att dessa frågor tas upp så att ditt företag är helt förenligt med förordningen.
GDPR:s inverkan på ditt kundengagemang
När förordningens tillämpningsdatum närmar sig kommer du sannolikt att se GDPR:s konsekvenser i ditt kundbemötande. Den huvudsakliga inverkan som förordningen förväntas ha på ditt kundengagemang kommer att ske genom den ökade kontroll som konsumenterna kommer att ha över sina uppgifter. Detta kommer att leda till en ökning av antalet klagomål som företagen får, så det är viktigt att följa reglerna. Företag som följer förordningen kommer att se en minskning av antalet kundklagomål, vilket gör att de kan stödja sina kundrelationer bättre. För att uppfylla kraven måste du se till att du lagrar uppgifter på ett säkert sätt, att du skyddar de uppgifter som lagras och att du kommunicerar med kunderna om de uppgifter som du har om dem. Detta innebär att du måste se till att varje enskild person är medveten om sitt ansvar.
Förberedelser för efterlevnad av GDPR
Det bästa sättet att se till att din organisation följer GDPR fullt ut är att se till att varje anställd är fullt medveten om sitt ansvar. Det är viktigt att du genomför en informationskampanj för dina anställda för att se till att de är fullt medvetna om det ansvar de har. Det är också viktigt att se till att utbildningen uppdateras i takt med att förordningen utvecklas. Du måste se till att alla dina policyer uppfyller kraven. De policyer som du har på plats just nu kommer troligen att vara inaktuella när förordningen träder i kraft. När det gäller data måste du se till att du lagrar data på ett säkert sätt, att du skyddar de data som lagras och att du kommunicerar med kunderna om de data som du har om dem.
Vad heter GDPR på engelska?
Förordningen heter formellt sett Europeiska unionens förordning om skydd av fysiska personer med avseende på behandling av personuppgifter och fri rörlighet för sådana uppgifter. Detta är vad som kallas på engelska och är det officiella namnet på förordningen. Det har rått en viss förvirring kring detta namn och många tror att det helt enkelt heter GDPR. Det är felaktigt, eftersom detta är förordningens formella namn. Förordningen kallas GDPR på de flesta andra språk, inklusive franska, tyska och spanska.
Vad innebär GDPR för ett företag?
Förordningen innebär en betydande förändring i hur företag bör närma sig dataskydd. Om ett företag inte följer förordningen riskerar företaget betydande böter. Detta innebär att företagen måste ta ett nytt grepp om datastyrning, efterlevnad och riskhantering. För att lyckas måste företagen se till att de har en robust datapolicy som är helt förenlig med kraven. De måste också se till att deras politik kommuniceras till alla anställda. Om ett företag följer reglerna innebär det att det finns en stor sannolikhet för att företaget inte kommer att få böter. Om ett företag uppfyller kraven kan det fokusera på att tillhandahålla en högkvalitativ tjänst till sina kunder.
Vad är GDPR en förkortning för?
Förordningen heter formellt Europeiska unionens förordning om skydd av fysiska personer med avseende på behandling av personuppgifter och fri rörlighet för sådana uppgifter. Detta är vad som kallas på engelska och är det officiella namnet på förordningen. Förordningen har också allmänt kallats GDPR. Detta är en korrekt återgivning av vad förordningen kallas, men det är inte det korrekta namnet. Det korrekta namnet på förordningen är förordningen om skydd av fysiska personer med avseende på behandling av personuppgifter. Detta är det namn som förordningen går under även på andra språk. Ett annat namn på förordningen är GDPR.
Vad är personuppgifter enligt GDPR?
Personuppgifter är all information som kan användas för att identifiera eller kontakta en enskild registrerad person. I GDPR definieras ”personuppgifter” som all information som rör en identifierad eller identifierbar fysisk person (”registrerad”). En identifieringskod, till exempel ett namn, en e-postadress eller ett mobiltelefonnummer, är exempel på ” personuppgifter”.
Vad innebär GDPR för enskilda personer?
Du kan använda GDPR för att få kontroll över dina uppgifter och få rättsligt skydd för din integritet. GDPR säger att du har ”rätt till tillgång” till dina personuppgifter och ”rätt att bli bortglömd”. Du har också ”rätt att bli informerad” om hur dina uppgifter används.
Kan jag som privatperson bryta mot GDPR?
Ja. Om du till exempel delar dina hälsouppgifter med en läkare utan dennes tillstånd har du brutit mot GDPR. Du kan också få böter på upp till 20 miljoner euro eller 4 % av din årsomsättning om ett företag som du arbetar för bryter mot GDPR.
Kan en privatperson vara personuppgiftsansvarig?
Nej. I EU:s dataskyddsförordning definieras en personuppgiftsansvarig som en privatperson som bestämmer ändamålen med behandlingen och hur den registrerades personuppgifter ska behandlas. Om du vill vara personuppgiftsansvarig måste du ansöka om certifiering hos EU:s dataskyddsmyndighet.
Vad skyddar dataskyddsförordningen?
GDPR är den största uppdateringen av EU:s dataskyddslagar på två decennier. Den omfattar alla aspekter av datahantering, från insamling av data till förstöring av data. Företag som lagrar eller behandlar uppgifter om EU-medborgare måste följa GDPR. Detta gäller både privata företag och offentliga organ. GDPR gäller för alla EU:s medlemsstater, inklusive Island, Liechtenstein och Norge.
Vad är känsliga uppgifter enligt GDPR?
”Känsliga uppgifter” är uppgifter om ras, religion, fackföreningsaktivitet, genetiska uppgifter, biometriska uppgifter, hälsouppgifter eller sexualliv. Alla uppgifter som rör en persons ras, etnicitet, nationalitet, ursprungsland, politiska eller religiösa övertygelser eller sexuella läggning betraktas som känsliga uppgifter.
Vad är skillnaden mellan personuppgifter och känsliga uppgifter enligt GDPR?
Personuppgifter är all information som kan användas för att identifiera en person, till exempel namn, adress eller medicinska journaler. Känsliga uppgifter är alla andra uppgifter som kan identifiera en person, till exempel information om ras eller hälsa.
Kan jag som privatperson bli stämd för brott mot GDPR?
Ja. GDPR säger också att den som bryter mot GDPR kan dömas till böter på upp till 20 miljoner euro eller 4 % av sin årsomsättning. Det betyder att även om ditt företag inte bötfälls kan du bli bötfälld om du bryter mot GDPR. GDPR säger också att den som bryter mot GDPR kan stämmas av en privatperson, som kan få upp till 100 000 euro i skadestånd.
Vad är EU:s datatillsynsman?
EU:s datatillsynsman (”DPC”) är en europeisk lag som skapades genom dataskyddsförordningen och som övervakar att EU:s medlemsstater följer dataskyddsförordningen. Dataskyddsombudsmannen har fullständiga utredningsbefogenheter och kan utfärda bindande beslut och påföljder för bristande efterlevnad.
Vad innebär GDPR för organisationer?
Organisationer som hanterar någon form av personuppgifter enligt GDPR måste följa den nya förordningen. Detta inkluderar offentliga organ och privata företag som erbjuder varor eller tjänster till EU-medborgare. GDPR gäller alla organisationer som hanterar personuppgifter, oavsett om de är baserade i EU eller inte.
Kan organisationer få böter för att ha brutit mot GDPR?
Ja, GDPR säger också att alla företag som bryter mot GDPR kan få böter på upp till 20 miljoner euro eller 4 % av sin årliga omsättning. Detta innebär att även om ditt företag inte får böter kan du få böter för att ha brutit mot GDPR. Organisationer måste följa GDPR av många skäl, men framför allt för att undvika böter.
Vad måste en organisation göra för att följa GDPR?
- Identifiera sitt dataflöde
- Skapa en dataskyddspolicy
- Skapa en integritetspolicy
- Skaffa sig en certifiering
- Säkerställa revision av efterlevnad
- Genomföra efterlevnad
Vad är en kontroll av ansvarsskyldighet?
En ansvarskontroll är ett verktyg som hjälper dig att bedöma din organisations datahanteringspraxis i förhållande till GDPR-kraven. Du kan använda ansvarskontroller för att utvärdera din organisation och avgöra var förbättringar behövs.
Vad är certifiering och varför är det viktigt?
GDPR-certifiering är det enda sättet att visa att förordningen följs. Certifiering av ICO eller en tredjepartsleverantör av certifieringstjänster krävs om du hanterar känsliga uppgifter. Om du hanterar känsliga uppgifter måste du bevisa att du har genomfört en konsekvensbedömning av dataskydd (DPIA) för att visa hur din behandling av känsliga uppgifter kommer att vara förenlig med lagen. Utan certifiering förlitar du dig i huvudsak på din egen självbedömning.
Vad innebär det att genomföra en konsekvensbedömning av dataskydd?
En dataskyddsbedömning är en skriftlig bedömning av de betydande riskerna och fördelarna med en ny eller förändrad databehandlingsmetod. DPIA måste beakta alla rättigheter för registrerade personer enligt GDPR och andra lagar som skyddar individers uppgifter. Den måste också ta hänsyn till kostnader och fördelar med att följa dataskyddskraven.
Hur ser en konsekvensbedömning av databehandling ut?
En DPIA måste vara omfattande, skriftlig, dokumenterad och undertecknad av en dataskyddsexpert. Analysen måste ta hänsyn till följande ämnen för att visa att dataskyddsförordningen följs:
- Risken för att personuppgifter går förlorade, stjäls eller äventyras.
- Risken för att personuppgifter används för ett oavsiktligt ändamål.
- Risken för att personuppgifter behandlas på ett felaktigt sätt.
- Risken för att personuppgifter kommer att nås av obehöriga personer.
- Kostnader och fördelar med att uppfylla kraven på uppgiftsskydd.
Hur ser DPIAS ut?
DPIAS kan vara enkla flödesscheman, men de måste vara omfattande, skrivna, dokumenterade och undertecknade av en dataskyddsexpert. Analysen måste ta hänsyn till följande ämnen för att visa att dataskyddsförordningen följs:
- Risken för att personuppgifter går förlorade, stjäls eller äventyras.
- Risken för att personuppgifter används för ett oavsiktligt ändamål.
- Risken för att personuppgifter behandlas på ett felaktigt sätt.
- Risken för att personuppgifter kommer att nås av obehöriga personer.
- Kostnader och fördelar med att uppfylla kraven på uppgiftsskydd.
- Kostnader och fördelar med att genomföra en konsekvensbedömning av personuppgifter
Vem kan certifiera sig enligt GDPR?
Endast ett godkänt certifieringsorgan får utfärda certifiering enligt GDPR. Ett godkänt certifieringsorgan är ett certifieringsorgan som ackrediterats av EU-kommissionen och som är föremål för revision av Europeiska dataskyddsstyrelsen. Du kan söka efter ackrediterade certifieringsorgan på EU-kommissionens webbplats. I framtiden kommer EU-parlamentet och EU:s ministerråd att välja vilka organ som ska få certifieringsbehörighet.
Hur ser en certifiering ut?
En certifiering ska visa att ditt företag har genomfört en konsekvensbedömning för dataskydd och en konsekvensbedömning för dataskydd (DPIA). En certifiering bör innehålla följande