GDPR – 5 vanliga missförstånd
Det har nu gått drygt tre månader sedan GDPR började gälla och under sommaren genomförde Datainspektionen sin första granskning. Förutom att klara kraven för GDPR, verkar en utmaning för många företag vara att tolka de nya reglerna. Här har vi listat 5 vanliga missförstånd kring GDPR.
Den stora uppmärksamhet kring GDPR som uppstod precis innan 25 maj med utskick av information till privatpersoner har lagt sig. Sedan dess har vi märkt att många gjort väldigt olika tolkningar, inte minst när det gäller registerutdrag. Många företag och organisationer har inte fungerande processer för registerutdrag än och kan inte lämna rätt information i tid.
Läs också: GDPR - en snabbguide för företagare
Det finns ett antal olika missförstånd och misstag som företag gör kopplat till GDPR. Här har vi listat några av de vanligaste missförstånden:
1. Alla måste ha ett dataskyddsombud
För alla myndigheter och offentliga organisationer är det obligatoriskt att ha ett dataskyddsombud, så även för vissa företag, men inte för alla. Många företag tror att alla behöver ett dataskyddsombud. Rekommendationen är att ha en motsvarande roll men att kalla den rollen för något annat än dataskyddsombud för att undvika missförstånd. Väljer man att frivilligt utse ett dataskyddsombud gäller samma krav för dataskyddsombudets status, ställning och uppgifter som om utnämningen hade varit obligatorisk.
Läs också: Ta reda på om ditt företag måste utse ett dataskyddsombud!
2. Anlita ett personuppgiftsbiträde=avskriva sig ansvaret
Missförståndet att man helt kan avtala bort ansvaret för hantering av personuppgifter genom att anlita ett personuppgiftsbiträde. Även personuppgiftsbiträdet kan utsättas för sanktioner vid vårdslös hantering av personuppgifter. Företaget (som är personuppgiftsansvarig för sin verksamhet) kan inte helt avtala bort ansvaret oavsett hur många personuppgiftsbiträdesavtal som tas fram.
3. Samtycke och kryptering är ett måste
Ett vanligt misstag är att tro man inte får göra något om det inte finns samtycke och att allt måste krypteras. Alla personuppgiftsbehandlingar behöver inte samtycke. Samtycke är endast en av flera lagliga grunder för att få behandla personuppgifter. Kryptering är en av flera säkerhetsåtgärder och vilken åtgärd som är mest lämplig för att skydda personuppgifterna måste analyseras från fall till fall.
4. Nu (efter 25 maj) kan man lägga GDPR-arbetet lite åt sidan
Många slappnar av och tror att när uppmärksamheten lade sig efter 25 maj behövs det inte göras något mer. Även om det var mest uppmärksamhet kring GDPR tiden innan 25 maj så krävs rutiner för uppföljning och säkerställande att lagkraven uppfylls över tid. Efterlevnad av GDPR är en ständig process och det behöver finnas en plan för uppföljning av efterlevnaden och denna bör vara integrerad med övrigt säkerhetsarbete.
5. Nyheter i GDPR går före grundläggande krav i personuppgiftslagen
Har ni lagt störst fokus i anpassningsarbetet på nyheterna i GDPR, trots bristfällig efterlevnad av den tidigare personuppgiftslagen? Det kan ha lett till dåliga prioriteringar och fokus på fel saker. Många uppfyllde inte personuppgiftslagen (PuL) tidigare, men har ändå i stort sett endast fokuserat på specifika nyheter i GDPR. GDPR innehåller några viktiga nyheter, men innan fokus läggs på nyheterna bör man se till att man uppfyller grundprinciperna och de mest grundläggande kraven.
PwC
PwC Sverige är marknadsledande inom revision och rådgivning med 2 700 medarbetare runt om i landet – vi finns där du finns! Vårt syfte är att skapa förtroende i samhället och lösa viktiga problem och våra värderingar genomsyrar allt vi gör.
Lämna en kommentar