OM GDPR
Vad innebär GDPR?
GDPR kommer att öka säkerheten för personuppgifter i hela EU, för att skydda medborgarna från dataintrång och bedrägerier. Till personuppgifter räknas allt som kan kopplas till en identifierbar person, fullständigt namn, e-post, telefonnummer och bilder är några exempel.
Med GDPR kommer nya rättigheter för enskilda personer, samtidigt som andra, redan befintliga rättigheter utökas för att ge medborgarna ett starkare skydd. Det som förändras i GDPR är följande:
· Enskilda personer får rätt att överföra sina personuppgifter från en organisation till en annan.
· Personuppgifter måste finnas tillgängliga i ett maskinläsbart format.
· Personer får rätt att begära att personuppgifter tas bort eller helt och hållet raderas.
· Vid dataintrång ska den ansvariga myndigheten informeras om intrånget.
· Enskilda personer som berörs av ett dataintrång ska även de underrättas.
· En lokal myndighet behöver inte längre få information om att personuppgifter bearbetas.
· En organisation måste upprätthålla ett register över de bearbetningsaktiviteter som sker under organisationens ansvar.
· Data Protection Impact Assessment, DPIA, ska användas för att identifiera höga risker som rör enskildas integritetsrättigheter.
· Säkerhetskrav och säkerhetsbedömningar ska baseras på en riskbedömning.
· En organisation måste kunna visa att GDPR efterlevs.
Med GDPR blir det enklare för företag att handla med andra företag inom EU. Ett företag får inte spara personuppgifter längre än nödvändigt – det vill säga när det uppgifterna användes till är avslutat. Det är alltså viktigt att radera de personuppgifter som inte längre används.
VIKTIGT ATT TÄNKA PÅ
Bland det viktigaste att komma ihåg är att GDPR inte bara omfattar elektronisk information. GDPR gäller också, i allra högsta grad, alla papper och dokument som innehåller någon typ av personuppgift. Det som nämns i GDPR måste kunna utföras i praktiken. Därför kan det krävas tydliga regler kring hur personal på en arbetsplats ska hantera den elektroniska och pappersbaserade information som finns i organisationen. Ett exempel är tydliga strimlingsrutiner för dokument med känslig information.
Hanteringen av personuppgifter innefattar också hur uppgifter används inom organisationen, exempelvis vid lagring av kunduppgifter. Företag bör redan nu se över sina rutiner kring detta för att upptäcka brister som behöver åtgärdas innan GDPR träder i kraft. Det kan vara bra att ha någon eller några i organisationen som är ansvariga för att se till att GDPR följs.
De IT-kapaciteter som finns ska kunna efterleva GDPR. Det är företagen själva som har ansvaret att säkerställa att de tekniska system som finns i verksamheten når upp till standarden. Delar av tekniken kan behöva ersättas för att nå upp till standarden. Är er dokumentförstörare tillräckligt avancerad för att strimla det allra känsligaste?
Manuella dokumentförstörare är ofta inte lika snabba som automatiska. Med en manuell äldre version kan det ta upp till 15 minuter att strimla 500 ark. Nya, mer moderna varianter kan strimla samma antal ark på 14 sekunder. En uppgradering av dokumentförstöraren kan dels göra att fler blir benägna att faktiskt gå iväg till maskinen när personuppgifter behöver förstöras, dels göra att de försvinner snabbare och strimlas i mindre bitar än vad som hade varit möjligt i er gamla dokumentförstörare.
En ny dokumentförstörare kan alltså göra er förberedda för mycket av det som GDPR innebär. Att vara väl förberedd och se till att hela personalen involveras och förstår den nya hanteringen av personuppgifter gör både era rutiner bättre och hjälper er att undvika böter.
VAD HÄNDER OM DU INTE FÖLJER GDPR?
Att inte hantera personuppgifter på ett aktsamt sätt, eller att inte göra sig av med dem på personens egen begäran, kan vara ett brott mot GDPR. Det kan göra att berörda personer känner sig kränkta samtidigt som risken att de drabbas av bedrägeri eller identitetsstöld ökar.
För organisationens del kan följden av att inte efterleva GDPR bli höga böter. Den organisation som inte följer kraven i förordningen kan straffas med böter på upp till 20 miljoner euro eller 4 % av företagets globala omsättning, beroende på vilket belopp som är högst.