Är du redo inför den nya dataskyddsförordningen?

Högre krav när nya dataskyddsfördningen träder i kraft


Från och med 25 maj 2018 gäller nya regler för behandling av personuppgifter. Den nya dataskyddsförordningen ersätter Personuppgifts-lagen (PUL) och ställer betydligt högre krav på alla företag och organisationer som verkar inom EU. Det är därför hög tid att se över riktlinjer och vilka personer i företaget som ska arbeta med personuppgifter. 

 Vi ställde några korta frågor till Anders Brännfors, XLENT Consulting Group om den nya förordningen vars syfte är att skapa enhetlighet inom EU.

Vilka företag omfattas av den nya förordningen?

Det gör alla företag som hanterar personuppgifter – alltså all information som avser en identifierad eller identifierbar person, oberoende om det är kunder, personal, konsult eller privat person. Det betyder i praktiken att alla företag omfattas. Stora bolag med fler än 250 anställda har dock högre krav på sig. Det har även företag som har behandling av personuppgifter som huvudsyssla.

Vad krävs för att säkerställa att man gör rätt?

Om man sedan tidigare uppfyller PUL, är det inte så mycket mer som tillkommer, men om man inte gör det krävs relativt mycket. De viktigaste kraven i den nya förordningen är att:
  • Det finns ett legitimt skäl för respektive behandling av personuppgifter (det finns sex uppräknade legitima skäl)
  • Alla personuppgifter kan raderas om det legitima skälet för behandling upphör
  • Om en person begär att man kan lämna ut alla personuppgifter man har om den personen ska så ske
  • Personuppgifterna kan rättas och raderas om personen så kräver
  • Man har det dataskydd som behövs när man behandlar personuppgifter
  • När man utvecklar nya tjänster och processer som behandlar personuppgifter så ser man till att man har det dataskydd som behövs
  • Om man använder tredje part (personuppgiftsbiträden) för behandling av personuppgifter (molntjänster, driftstjänster etc.) så måste man säkerställa att de också uppfyller regelverket och att det också framgår av avtal etc.
  • Om en personuppgiftsincident inträffar så måste man anmäla det till tillsynsmyndigheten (Datainspektionen) inom 72 timmar. 
Man behöver som företag också kunna visa att man uppfyller ovanstående krav.

Vilka konsekvenser ger felaktig behandling av personuppgifter?

Om överträdelsen är mycket grov kan man drabbas av administrativa sanktionsavgifter på upp till 20 000 000 Euro, eller upp till 4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst.
 

Vad är ditt bästa tips till små och medelstora tillverkande företag i Gävleborg och Dalarna?

Det första man måste göra nu direkt är att säkerställa att ledning och andra berörda är medvetna om den nya dataskyddsförordningen och vad den innebär. Därefter måste man inventera vilka personuppgifter som man behandlar och säkerställa att man följer reglerna. Det är viktigt att påbörja arbetet snarast, eftersom det kan krävas ganska stora ändringar av arbetssätt och IT-lösningar för att man skall uppfylla förordningen.
 
Datainspektionen har en del matnyttig information på sin webbplats  om man vill läsa på själv.
 
Vill du lära dig mer?
 
Den 30 mars finns möjlighet att lära sig mer om den nya förordningen, då Anders Brännfors XLENT Consulting Group och Företagsutbildarna håller en tretimmars föreläsning i Hudiksvall.
 
Anmäl dig till Företagsutbildarnas utbildning här (obs tillfället har varit men en intresseanmälan finns att göra)
.
 






 
Kontakta gärna oss på FindIT om du vill ha hjälp att hitta mer information eller kontakter som kan hljälpa er med denna fråga.