Den här gången gäller samma regler i hela EU. Och den här gången kostar det för den som bryter mot lagen. Just sanktionsavgifterna i den nya dataskyddsförordningen, eller GDPR* som den också kallas, är nog det som har väckt störst uppmärksamhet. För ett bolag som LKAB skulle det exempelvis kosta 650 miljoner kronor att drabbas av den sanktionsavgift som följs av GDPR, motsvarande fyra procent av omsättningen.
GDPR fastställer att personuppgifter ska skyddas med ”tillräcklig säkerhet”, vilket i praktiken kommer att vara en högre nivå av säkerhet än de flesta företag och organisationer har idag. Många företag jag möter i min vardag uttrycker frustation över den energi och de kostnader som går åt för att anpassa företagets rutiner, system och avtal i syfte att senast den 25 maj 2018 uppfylla kraven i GDPR. Den vanligaste frågan är nog: ”Var ska vi börja?”. Jag brukar föreslå att arbetet struktureras utifrån följande checklista:
* Börja i tid.
* Se till att styrelse, ledningsgrupp och andra nyckelpersoner känner till vad GDPR kommer att innebära för just er.
* Inventera vilka personuppgifter företaget behandlar, i vilka system uppgifterna finns samt vilka leverantörer som behandlar personuppgifter åt er. Analysera även i vilket syfte uppgifterna behandlas.
* Tillsätt ett dataskyddsombud.
* Säkerställ att era personuppgifter skyddas med tillräckligt god säkerhet utifrån hur känsliga uppgifterna är.
* Säkerställ att era rutiner och system kan tillgodose de rättigheter som den enskilde har, exempelvis att få ut information om vilka uppgifter som behandlas, att bli ”glömd” i era system eller att få sina uppgifter flyttade till ett annat system.
* Se över era befintliga avtal och eventuella allmänna villkor.
* Ta fram personuppgiftsbiträdesavtal i de fall det behövs. Med fördel tas även en dataskyddspolicy fram som exempelvis klargör företagets rutiner för att kunna rapportera eventuella incidenter till Datainspektionen inom 72 timmar.
Trots de ansträngningar och kostnader som blir följden av ovanstående arbete är de flesta överens om att införandet av GDPR blir ett naturligt tillfälle att göra den ”städning av garderoben” som egentligen borde ha gjorts för länge sedan och att se till att från och med nu behandla personuppgifter på ett mer professionellt sätt.
*GDPR står för ”General Data Protection Regulation”.