Vad gör jag nu, efter den 25 maj?

Personuppgiftsbehandling fortsätter att vara ett väldigt aktuellt ämne runt om i världen. Tiden är inne för att lägga nästa års budget och vad behöver du som företagare se över inom organisationen för att veta hur mycket plats dataskyddsarbetet ska få ta?

Vi har sammanställt ett par delar som bör tas med i beräkningen när du kartlägger vad som är gjort och vad som kommer att behöva ses över snarast.

 

Vad ska vara gjort?

Givetvis är det många delar som ska vara på plats, men börja med att fundera på följande saker. Är personuppgiftsbiträdesavtal upprättade med aktörer där samarbetet innebär ett biträdesförhållande? Och hur ser ert dataflöde ut inom organisationen? Skickas t.ex. fortfarande lönespecifikation fritt på mailen utan att vara krypterade kan ni börja i den änden.

Är risk- och sårbarhetsanalyser gjorda för era datasystem?  Annars gör det. Upprättande av en rutin om hur en begäran om registerutdrag ska tillmötesgås är även det grundläggande för ert dataskyddsarbete.

 

Övergången till ”business as usual”

Om ert företag kvalificerar in sig under området där det är obligatoriskt att ha ett dataskyddsombud bör det tillsättas ett omgående.

Det är även viktigt att fastställa vem på företaget som har vilket ansvar och vem som ska ha tillgång till systemen där ni behandlar personuppgifter. Det är inte i alla fall där alla bör, eller behöver, ha tillgång till dessa. Fastställ och offentliggör vem som är kontaktperson vid t.ex. en personuppgiftsincident och hur den ska hanteras. Utbilda och informera de anställda om hur personuppgifter ska hanteras i deras respektive roller.

Inför det kommande året bör ni se över hur mycket tid som behöver läggas på att tillmötesgå och säkerställa att personuppgiftsbehandling sker i enlighet med dataskyddsförordningen. Har ni t.ex. dataskydd by default eller dataskydd by design? Om inte bör det ses över. Är implementering av dataskydd i företagens arbetssätt och upprättandet av interna policys klart vad gäller personuppgiftsbehandling, IT-säkerhet och gallring?

Avslutningsvis rekommenderas omvärldsbevakning av Brexit, EU-US Privacy Shield, den kommande ePrivacy förordningen och nya personuppgiftsbehandlingslagar i länder utanför EU.

 

Förvänta er det oväntade

Eftersom dataskyddsförordningen är en ny förordning har det inte i dagsläget kommit någon dom från EU-domstolen. När det väl händer kommer det att vara vägledande för hur dataskyddsförordningen ska tolkas. Det här innebär att fram till dess vet ingen exakt om tillämpningen är i enlighet med hur EU kommer att tolka dataskyddsförordningen.

En sak är säker, personuppgiftsbehandling är ingenting som kommer att försvinna. Lika bra att ta sig an det, säkra upp och se till att ha en plan för hur det kommande arbetet med personuppgiftsbehandling ska se ut.

Förbered, omvärldsbevaka och se kontinuerligt över era policys så har ni gjort så mycket ni kan för tillfället.

 

 


Omvärldsbevakning av GDPR

Vi på Qnister håller fortsatt koll på var förordningen tar vägen, så att du kan fortsätta ha koll på din verksamhet. För dig som använder verktyget Qnister GDPR finns vi som en kunskapsbank som kontinuerligt bevakar dataskyddsförordningen: rättsfall, vad som blir praxis och hur den kommer att tillämpas. Med oss får du tillgång till nyheterna som du behöver för att vara GDPR-säkrad.

Här kan du läsa mer om vårt GDPR-verktyg.