Säkerhetsblogg

1 månad med GDPR – svar på vanliga frågor

Det har nu gått lite mer än en månad sedan GDPR tillämpades i lag. Det har funnits en del oklarheter i förordningen, och man kan säga att det är nu, efter tillämpningen av GDPR, som det intressanta börjar! Vilka organisationer kommer Datainspektionen utreda först? Hur väl förberedda är företag för GDPR? Finns det fortfarande oklarheter? I mitt arbete som Compliance Manager och GDPR-konsult får jag dagligen frågor om GDPR. I detta blogginlägg har jag samlat några av de vanligaste frågorna jag fått från både företag och privatpersoner.

Vilka företag kommer att granskas först av Datainspektionen?

Datainspektionen kommer att prioritera sina tillsynsärenden där ”risk för missbruk är särskilt stor” enligt Datainspektionens webbplats (t.ex. organisationer som behandlar stora mängder känsliga personuppgifter). Datainspektionen prioriterar även genom att iaktta mottagna klagomål eller missförhållanden som uppmärksammas i massmedia.

Enligt Datainspektionens generaldirektör kommer det första tillsynsåtagandet utreda ifall organisationer som måste anlita dataskyddsombud verkligen har gjort detta (t.ex. myndigheter, säkerhetsföretag, marknadsföringsföretag mm.). Dataskyddsombudets roll är att vara tillsynsmyndighetens förlängda arm och ska ha en oberoende ställning, detta kommer även att granskas.

Vi är inte klara med vårt anpassningsarbete, vad gör vi?

Arbetet med att uppfylla kraven i förordningen från grunden bör göras som ett projekt. Det första steget är att göra en kartläggning, en förteckning över organisationens system eller processer där man identifierar varför/hur/var mm. personuppgifter behandlas. Sedan handlar GDPR mycket om att uppföra GDPR-anpassade avtal, informera registrerade och se till att man har dokumenterade policys, regler och processer på plats där man tar hänsyn till förordningen. GDPR kommer att innebära stora förändringar för många organisationer, det är därför viktigt att ledning tar sitt ansvar och styr förändringsarbetet.

Om ni inte tillhör en av ovannämnda kategorier av organisationer behöver ni inte vara jätteorolig ifall ni inte hunnit med alla aktiviteter i efterlevnadsprojektet. Det som är viktigt är att man har en efterlevnadsplan som ledningen står bakom.

Krävs det jurister för att efterleva GDPR?

Det beror på ambitionsnivån. För att fullfölja förordningen i sin helhet behövs personer som kan praxis gällande dataskyddslagstiftning (alltså jurister som har jobbat ett tag innan med dataskyddslagstiftning). En viktig del av GDPR- efterlevnad handlar om att uppföra korrekta personuppgiftsbiträdeavtal, då är jurister till stor hjälp som även är bra på avtalsrätt. Det är även viktigt att det finns personer som kan informationssäkerhet och hur man organisatoriskt och tekniskt kan skydda personuppgifter. Om ni tänker anlita konsulter för att hjälpa till med GDPR-efterlevnaden behövs det personer som kan det juridiska, organisatoriska och tekniska.

Mitt företag har endast en enkel webbplats, hur vet jag om vi behöver följa GDPR?

Om man behandlar personuppgifter omfattas man av GDPR. Personuppgifter är allt det som kan identifiera en fysisk person, exempelvis namn, IP-adress, e-postadress och bilder. Har ni en webbplats, kundregister, register över anställda, använder e-post mm. behöver ni efterleva GDPR. Detta gör att i princip alla organisationer behöver efterleva GDPR.

En viktig del av GDPR-efterlevnad handlar om att informera registrerade om hur er organisation behandlar deras personuppgifter. Ni kommer alltså behöva en integritetspolicy (privacy policy) på er webbplats. Det finns miljontals exempel ute på webben hur en sådan kan se ut. För företag som har en webbplats är det viktigt att komma ihåg att cookies och IP-adresser också är personuppgifter. För cookies kommer ni även behöva en cookies policy enligt cookie-lagen.

Hur blir det med alla upplysningsföretag (t.ex. Eniro, ratsit, hitta.se) som samlar, delger, säljer eller på annat sätt sprider personlig data?

Vi har en grundlag i Sverige som heter Tryckfrihetsförordningen, där finns något som heter offentlighetsprincipen. Enligt offentlighetsprincipen ska allmänheten ha rätt till insyn över vad våra myndigheter gör, detta innebär att personuppgifter som myndigheter behandlar såsom din bostadsadress, betald skatt mm. är allmänna handlingar och ska enligt vår grundlag vara tillgänglig för allmänheten. Undantag finns om handlingarna är sekretessbelagda för att de t.ex. innehåller uppgifter rörande skyddad identitet eller hälsa.

Upplysningsföretagen använder denna offentlighetsprincip tillsammans med en annan grundlag, Yttrandefrihetsgrundlagen, för att publicera denna information. GDPR kommer INTE att påverka Sveriges grundlagar, och dessa ”tjänster” kommer att fortsätta. Men, EU har börjat uppmärksamma Sveriges alla upplysningstjänster och har börjat sätta press på Sverige att fixa detta på något sätt.

 

Här kan du hitta mer om GDPR:

Tekniska lösningar för GDPR

Guide till dokumentationen du behöver för att uppfylla kraven i GDPR

Utbildningsfilmer om GDPR

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com