GDPR - är ditt företag redo?

Den nya dataskyddsförordningen kommer – är ni redo?

Med bara några månader kvar tills dataskyddsförordningen börjar tillämpas är det hög tid att ta tag i den egna behandlingen av personuppgifter. Tobias Björkström från DKCO Advokatbyrå har sammanställt en artikel med några tips inför förändringen.

Ålands Näringsliv arrangerar även en kurs om GDPR den 24 april.

Tobias Björkströms sammanställning

1. Vad är dataskyddsförordningen?

De flesta av er har troligen redan hört talas om förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, som mera allmänt går under namnen ”dataskyddsförordningen”, ”personuppgiftsförordningen” eller kort och gott ”GDPR” (General Data Protection Regulation). Dataskyddsförordningen kommer att ersätta det nuvarande dataskyddsdirektivet från 1995, som har föråldrats i och med att behandling av personuppgifter har utvecklats i snabb takt på ett sätt som man inte tidigare hade kunnat förutse. Samtidigt vill man stärka den registrerades rättigheter och skapa möjligheter för företag att utveckla affärsmöjligheterna som finns i att behandla personuppgifter. Dataskyddsförordningen har redan trätt i kraft och börjar tillämpas 25.5.2018.

2. Berör dataskyddsförordningen mig och mitt företag?

Dataskyddsförordningen tillämpas på all behandling av personuppgifter, med undantag för behandling som utförs av en privatperson för rent privat bruk. Behandling är varje typ av manuell eller automatisk åtgärd, t.ex. registrering, insamling, organisering, lagring, bearbetning eller ändring. En personuppgift är varje upplysning som, direkt eller indirekt, kan identifiera en fysisk person, som t.ex. namn, e-postadress, socialskyddssignum, postadress, telefonnummer, hårfärg, längd, löneuppgifter, bilder, lokaliseringsuppgifter, blodgrupp, ”likes” eller IP-adresser. Dataskyddsförordningen gäller både manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register och automatisk behandling.

Tröskeln för att dataskyddsförordningen ska tillämpas på er verksamhet är därför väldigt låg. Redan att ni sparar leverantörers eller anställdas kontaktuppgifter, eller att er ideella förening för ett medlemsregister, leder i regel till att dataskyddsförordningen tillämpas.

3. Vad innebär dataskyddsförordningen för mitt företag?

Dataskyddsförordningen kommer att förbättra ditt företags möjligheter att använda personuppgifter i er affärsverksamhet (särskilt vid gränsöverskridande verksamhet), i gengäld blir företagets skyldigheter mera omfattande och explicita. Övervakningen kommer att skärpas, och ditt företag riskerar höga böter (upp till det högre av 20 miljoner euro eller 4 % av er globala omsättning) vid brott mot dataskyddsförordningen.

Skyldigheterna enligt dataskyddsförordningen kan grovt delas upp i interna skyldigheter samt skyldigheter gentemot en registrerad, tillsynsmyndigheten respektive tredje parter. De interna skyldigheterna omfattar bl.a. att minimera personuppgifterna och behandlingen, att definiera ändamål och grunder för behandlingen, att implementera tillräckliga säkerhetsarrangemang för att skydda personuppgifterna, att organisera den interna behandlingen, att vid behov utse dataskyddsombud och utföra konsekvensbedömningar samt att införa ett dataskyddstänk i verksamheten.

Gentemot den registrerade ska ditt företag ge klar och tydlig information om hur den registrerades personuppgifter behandlas. Ditt företag ska även ge den registrerade insyn i vilka uppgifter som behandlas, möjlighet att rätta, radera (rätten att bli bortglömd), begränsa behandlingen av och överföra (dataportabilitet) personuppgifterna under vissa förutsättningar. Den registrerade ska även informeras om eventuella dataintrång om det innebär en hög risk för denne. Gentemot myndigheterna är ditt företag skyldigt att bl.a. anmäla ett dataintrång inom 72 timmar från att det har upptäckts (om dataintrånget innebär en risk för den registrerade), samarbeta vid övervakning och visa att företaget följer dataskyddsförordningen.

Ifall ni använder er av tredje parter som behandlar personuppgifterna för er räkning, dvs. personuppgiftsbiträden, ska ni bl.a. säkerställa att det finns skriftliga avtal med personuppgiftsbiträdet och att avtalen uppfyller minimikraven i dataskyddsförordningen. Ni bör också vid behov säkerställa att det finns förutsättningar för att överföra personuppgifter utanför Europeiska Ekonomiska Samarbetsområdet.

Skyldigheterna i dataskyddsförordningen är omfattande men dataskyddsförordningen utgår från att varje företag anpassar skyldigheterna till omfattningen av sin egen behandling av personuppgifterna. Det innebär att skyldigheterna för ett litet företag med enbart ett enkelt kundregister inte blir lika betungande som för stora företag med omfattande behandling av personuppgifter.

4. Vad ska vi göra?

Det första steget är att inse att dataskyddsförordningen kommer och att den tillämpas på er verksamhet. Därefter lönar det sig att vidta t.ex. följande åtgärder:

• Utse en person som internt är ansvarig för implementeringen av dataskyddsförordningen. Sätt också i mån av möjlighet ihop en projektgrupp som består av representanter från ledningen och företagets olika avdelningar samt personer med kunskap i IT och juridik.
• Kartlägg noggrant vilka register ni har (t.ex. kundregister, personalregister och marknadsföringsregister) och hur personuppgifterna flödar. Identifiera varifrån personuppgifterna kommer, vilka personuppgifter det rör sig om, vilka program ni behandlar dem i, i vilken mån personuppgiftsbiträden behandlar dem och var eventuella externa servrar finns lokaliserade. Gå även igenom gamla personuppgifter. Detta ger en klarare bild av ert eget dataflöde och utgör grunden för de följande stegen.
• Gå igenom era interna rutiner för behandlingen av personuppgifter.
• Stäm av mot dataskyddsförordningen och förbättra de områden som inte uppfyller kraven.
• Dokumentera för att uppfylla skyldigheten på att visa att ni följer dataskyddsförordningen.
• Utbilda personalen så att de kan behandla personuppgifter på ett lagligt sätt.
• Göra dataskyddet till en integrerad del av er verksamhet, uppdatera er behandling kontinuerligt och häng med i utvecklingen.

För mer information och råd om hur ni ska gå tillväga med er implementering av dataskyddsförordningen, kontakta Ålands Näringsliv eller DKCO Advokatbyrå Tobias Björkström.