De nya reglerna berör i princip alla företag som har någon form av kundregister. Konsekvenserna om de inte följs är allvarliga.
Den som bryter mot EU:s nya dataskyddsförordning kan tvingas betala upp till fyra procent av den globala årsomsättningen i sanktionsavgifter. Nivån på sanktionsavgifterna avgörs bland annat av hur mycket uppgifter det rör sig om. Att aldrig samla in mer information än vad som är absolut nödvändigt är därför en bra tumregel.
För vissa verksamheter medför de nya reglerna en skyldighet att utse ett dataskyddsombud, en funktion som delvis motsvarar rollen som i PUL kallades för personuppgiftsombud. Det gäller offentliga myndigheter och verksamheter som involverar en särskilt riskfylld behandling, exempelvis systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.
Dataskyddsombud är ansvariga dels för att rapportera till styrelsen om något går fel, dels för att övervaka verksamheten och svara på frågor från allmänheten. Medan personuppgiftsombud tidigare ofta skött sina uppgifter vid sidan om sitt ordinarie arbete kommer den nya rollen att kräva ett allt större engagemang.
– Dataskyddsombuden måste vara involverade i allt. Det är viktigt att välja personer med rätt kompetens och ett intresse för de här frågorna, och att avsätta ordentligt med arbetstid, säger Axel Tandberg, som hjälper företag att implementera de nya reglerna.
Sammanfattningsvis kan man säga att dokumentationen och öppenheten är a och o när de nya lagarna träder i kraft.
– Se till att ha ordning och reda. Dokumentera och informera om allt som görs och gör ingenting du inte berättat att du ska göra. Kom ihåg att företaget bara har uppgifterna till låns, säger Axel Tandberg.
Nina Quist, Josefin Svenberg
Checklista:
Steg för steg – 14 punkter för att vara förberedd när de nya reglerna träder i kraft
1.
Vilka personuppgifter behandlar ni i organisationen idag, och hur hanterar ni dem?
2.
Dokumentera processerna.
3.
Identifiera organisationens flöden.
4.
Vilka säkerhetsmekanismer finns, internt och externt?
5.
Vilka är era skyldigheter – är ni personuppgiftsansvariga (PuA) eller personuppgiftsbiträden (PuB)?
6.
Diskutera frågan i styrelsen. Fördela resurser för att gå igenom och dokumentera personuppgiftsbehandlingen, säkerställa säkerheten kring databasen samt skapa/köpa ett digitalt system för att registrera all behandling.
7.
Ta hjälp av en jurist.
8.
Informera alla i organisationen om förändringarna.
9.
Utse ett dataskyddsombud.
10.
Se till att integritetspolicyn och handhavandet av personuppgifter är dokumenterad, uppdaterad och kommunicerad till medarbetare.
11.
Utbilda alla medarbetare.
12.
Uppdatera organisationens IT-struktur och säkerhet, utveckla ”privacy by design”.
13.
Gå igenom och anpassa alla avtal som berör personuppgiftsbehandling.
14.
Utveckla rutiner för hur ni ska jobba med andra, då alla kommer att bli ansvariga för allt som görs – i alla led.