GDPR: Deadlinen för efterlevnad närmar sig – är du redo?

GDPR: Deadlinen för efterlevnad närmar sig – är du redo?

04/10/2018

EU: s allmänna dataskyddsförordning (General Data Protection Regulation, GDPR) träder i kraft den 25 maj 2018. Förordningen ersätter de många överlappande dataskyddslagar som finns i regionen och ger konsumenterna mer makt att bestämma över hur deras personuppgifter ska användas av organisationer.  

Trots sitt namn bör GDPR betraktas som en global lagstiftning. Alla företag, oavsett var de bedriver sin verksamhet, måste efterleva GDPR om de samlar in data om EU-medborgare.

Viktiga aspekter av lagen

  • Kunderna får större makt över sina uppgifter. De kan när som helst begära att få åtkomst till dem, att de ändras eller att de tas bort helt
  • Kunder måste ge sitt samtycke till datainsamling och uppgifterna kan användas enbart i det syfte de samlades in för
  • Tillsynsmyndigheter måste meddelas om dataförlustincidenter inom 72 timmar
  • Böter för bristande efterlevnad kan uppgå till 20 miljoner euro eller 4 % av den globala omsättningen, beroende på vilket belopp som är högst

Tips för att bli redo för GDPR 

Företag måste börja förbereda sig inför GDPR då lokala datatillsynsmyndigheter kommer att ha tillämpat de relevanta processerna på verkställningsdagen. De behöver därför granska befintliga processer för att kunna fastställa vilka ändringar som krävs för att säkerställa efterlevnad.

Detta bör omfatta granskning av alla data som företaget har för närvarande och av de processer och den teknik som används för att samla in och hantera dem. Enligt GDPR ska kunder ge sitt samtycke till att deras uppgifter samlas in och det måste finnas bevis på att det har givits, vilket även gäller för data som samlats in före lagen trädde i kraft. Vissa företag har tagit bort alla befintliga datauppsättningar för att börja om från början.

GDPR lägger stor vikt vid cybersäkerhet. Företag som inte skyddar sig själva och sina data ens med grundläggande åtgärder – antivirusprogram och brandväggar – kommer att strida mot lagen. Organisationer bör analysera hur de bättre kan skydda sina data.

Företag måste också se till att de har tillämpat processer för att hantera kundernas önskemål. Om en kund ringer för att begära ut sina uppgifter ska de levereras utan dröjsmål och i ett läsbart format. Företag måste säkerställa att de har tillräckligt med resurser för att hantera förfrågningar utöver dagliga ansvarsuppgifter.

I syfte att säkerställa beredskap för GDPR bör företag skapa en arbetsgrupp med ansvar att leda processen. Att ha ett särskilt team med uppdraget att hålla sig uppdaterade om lagen och implementera de relevanta ändringarna gör att hela processen går smidigare.