Det är nytt år och nu börjar det närma sig på riktigt, den nya dataskyddsförordningen. Många har förmodligen skjutit det framför sig eller sett begreppet ”GDPR ”, funderat lite och sedan gått vidare med sin arbetsdag. Men nu behöver företag ta tag i det här på riktigt. De behöver förstå vad GDPR innebär men också i vilken omfattning det påverkar ert företag.

Vi har skrivit om det här tidigare men här är en sammanfattning för att fräscha upp minnet. Nedan förklarar vi hur vi uppfattar den nya dataskyddsförordningen. I samband med det vill vi poängtera att vi inte är några jurister. Vi är ett företag som berörs av det här precis som ni. Det vi däremot är, är experter på Dynamics NAV och med det som bakgrund behöver vi förstå GDPR för att kunna hjälpa er på bästa sätt.

Om ni inte orkar läsa hela inlägget så vill vi tidigt informera att vi har tagit fram olika workshoppaket för er som arbetar i NAV. Paketen fokuserar på NAV och GDPR samt vad ni kan göra för att stå upp mot de nya kraven. För mer information så laddar ner vårt produktblad eller delta i vårt informationswebbinarium i början av februari. Och för er som vill läsa vidare, så följer här en kortare sammanfattning.

Produktblad

Anmäl dig till kostnadsfritt informationswebbinarium

Vad är GDPR?

GDPR är Europeiska Unionens nya dataskyddsförordning som i Sverige kommer att ersätta PuL, Personuppgiftslagen. GDPR innefattar ett betydligt striktare regelverk än det vi har idag vilket kommer ge fysiska personer större kontroll över sina personliga uppgifter. Här ställs krav på hur företag samlar in, lagrar, hanterar eller analyserar personuppgifter. Om den nya dataskyddsförordningen inte efterföljs kan företag bli skyldiga att betala höga sanktionsavgifter. Summan av sanktionsavgiften kommer att vara betydligt högre än vad som tilldelats företag tidigare. GDPR börjar gälla 25 maj 2018 och om vi har uppfattat det hela rätt, kommer inga förmildrande omständigheter att gälla efter det aktuella datumet.

Vad innebär GDPR?

GDPR kommer att innebära fler och striktare krav på hur insamling, lagring och hantering av data får ske. Idag är möjligheten att samla in och lagra information enorm. Möjligheten är större än vad det någonsin varit förut. Tekniken utvecklas snabbt och digitaliseringen ligger till stor del bakom behovet av ett nytt, strängare regelverk för att skydda fysiska personer.

Här är ett par punkter som är hämtat från olika artiklar och ger en bra bild av GDPRs innebörd.

  • Transparens, relevant och laglig hantering av personuppgifter. Avsikten kring varför ni hanterar personuppgifter ska vara tydlig. Det ska framgå hur och varför ni hanterar personuppgifter. Hanteringen ska alltid ske på lagliga grunder.
  • Begränsning i användandet av datat. Att återanvända data om fysiska personer är inte tillåtet om den nya användningen avviker från det syfte som individen från början samtyckte till.
  • Företaget är ansvariga för att radera gammalt data. Om det inte längre finns några skäl för er näringsverksamhet att lagra informationen ska företaget ha rutiner för att radera datat.
  • Begränsa tiden ni lagrar data. Se till att ni inte lagrar personuppgifter längre än vad som är nödvändigt för att uppfylla syftet det avsåg.
  • Företag har ett ansvar för säkerheten kring hur personuppgifter hanteras. Det ska finnas rutiner och instrument för hur företaget rent systemmässigt ser till att säkerheten efterföljs.

Påverkar det här din organisation?

GDPR påverkar fler än vad många verkar tro. GDPR omfattar organisationer i alla storlekar och inom alla branscher. Det gäller för alla organisationer som verkar inom den Europeiska Unionen.

  • Det gäller om ni på något sätt hanterar personuppgifter och att insamlingen/behandlingen sker inom ramen för den verksamhet som är etablerad inom EU.
  • Det gäller bearbetningen av personuppgifter för individer som är bosatta i EU trots att er verksamhet är etablerad utanför EU.

Vad kan hända om min organisation inte möter de krav som ställs?

Tidigare har det inte tilldelats några omfattande böter för de företag som brutit mot det regelverk som omfattar skyddandet av fysiska personer. Det är en stor förändring i och med GDPR. Maxavgiften för företag som bryter mot den nya dataskyddförordningen är 20 miljoner Euro eller 4% av organisationens globala omsättning. Det är stora summor och det understryker allvaret i om överträdelser sker på de nya reglerna.

Vilka rättsliga grunder finns för att lagra uppgifter?

De som idag nämns som tillåtna grunder varvid det finns själ att hantera personuppgifter är:

  • Vid samtycke
  • Vid fullgörande av avtal
  • Vid skyddande av en persons intresse
  • Vid allmänt intresse eller myndighetsutövning
  • Vid rättslig förpliktelse
  • Vid en intresseavvägning

Vid en pågående affärsrelation finns det nästan alltid själ att hantera personuppgifter såsom namn, mailadress eller annan information för att fullgöra ert affärsavtal. Men om personen slutar? Vad händer då? Om kunden inte vill vara kund längre? Vad gäller i det fallet? Scenarierna är många och lösningarna lika så.

Det här var en kort, kort sammanfattning av vad GDPR innebär. Är ni ett av företagen som inte börjat med GDPR än? Lugn, det finns fortfarande tid kvar och vi hjälper er gärna att komma igång. Vi har tagit fram ett erbjudande där ni får den hjälp ni behöver för att komma igång. Vi fokuserar på NAV och GDPR, ni kan välja mellan ett större och ett mindre paket. Vi analyserar ert NAV och identifierar vart vi hittar personuppgifter och/eller känsliga uppgifter. Vi hjälper er med en åtgärdsplan för att hantera dessa och vara á jour till den 25 maj.