GDPR: De 5 vanligaste misstagen

Fem misstag som är enkla att undvika när det kommer till GDPR

GDPR EU Personal Data Protection

Advokaten Jan Sandtrø från DLA Piper berättar om de vanligaste misstagen när det gäller GDPR.

Senast den 25 maj 2018 måste alla verksamheter i Europa efterleva den nya persondataförordningen (GDPR). Den norska advokatfirman DLA Piper hjälper företag att värdera om de behandlar personuppgifter enligt de nya reglerna. I den här artikeln listas de fem vanligaste misstagen när det kommer till GDPR.

1. Verksamheten har inte översikt över all behandling av personuppgifter

DLA Piper menar att verksamheter ofta saknar tillräcklig kontroll och överblick över samtliga personuppgifter som de behandlar. På så sätt har man inte koll på om behandling av personuppgifter överensstämmer med den nya lagstiftningen. Detta gäller både personuppgifter som behandlas i verksamheten och personuppgiftsbiträde. Det gäller även personuppgifter som överförs till en tredje part, som då blir personuppgiftsansvarig. Några av utmaningarna beror på brist på förståelse för vad personliguppgifter och behandling är och att dessa begreppen mestadels innehåller information som kan kopplas till individer.

2. Bristande bedömningar och dokumentation

När man skaffat sig översikt över all behandling som görs inom verksamheten måste man värdera om den görs enligt de ny reglerna. I många fall råder en osäkerhet kring vad som är korrekt att behandla och huruvida det överensstämmer med GDPR. Ofta saknas också dokumentation över behandling av personuppgifter. Om man är osäker på vad som gäller är det viktigt att dokumentera att en bedömning åtminstone har gjorts. Om den registrerade personens samtycke används som underlag för behandling måste samtycket dokumenteras, något som ofta inte finns på plats.

3. Bristande rutiner och processer

Det finns ett antal rutiner och processer som behöver vara på plats för att uppfylla kraven på internkontroll enligt den nya lagstiftningen. Detta gäller särskilt brist på rutiner för att ge information till de registrerade, antingen personuppgifter som samlats in från den registrerade eller information som erhållits eller mottagits från en tredje part. Det bör också finnas rutiner för anmälan om brott mot informationssäkerheten, hantering av rätten att begära ut uppgifter från de registrerade samt registrering och dokumentation av ny behandling.

4. Brist på personuppgiftsbiträdesavtal

Om personuppgifter hanteras av ett annat företag, till exempel bolag som erbjuder molntjänster för lagring, måste det finnas ett personuppgiftsbiträdesavtal. Med den nya dataskyddsförordningen ställs det tydligare krav på vad ett personuppgiftsbiträdesavtal ska innehålla. Många verksamheter har inte ingått personuppgiftsbiträdesavtal med personuppgiftsansvarig. Det är också vanligt att ett avtal har ingåtts men att det inte lever upp till de nya lagkraven.

5. Överföring av personuppgifter utanför EU utan rättslig grund

Personuppgifter kan inte överföras till länder utanför EU utan rättslig grund. Detta gäller även för molntjänster där personuppgifter lagras utanför EU. Rättslig grund kan vara samtycke från de som är registrerade, avtal, användning av standardavtal från EU, överföring till USA enligt Privacy Shield eller användning av Binding Corporate Rules. Om ingen av dessa punkter överensstämmer är det olagligt att föra ut personuppgifter utanför EU.

Att föra ut personuppgifter utanför EU är inte bara olagligt, det också enkelt att upptäcka och att komma till rätta med felaktigheterna. Se till att din verksamhet ligger steget före myndigheterna genom att ha koll på de vanligaste misstagen när det kommer till GDPR. 

Annons
Annons
Andra läser också
Annons
Annons