Viktiga saker att tänka på vid anpassning till GDPR | KPMG | SE

Viktiga saker att tänka på vid anpassning till GDPR

Viktiga saker att tänka på vid anpassning till GDPR

EUs dataskyddsförordning, GDPR (General Data Protection Regulation), träder i kraft som lag i maj 2018. Den kommer att omfatta alla organisationer och myndigheter och det är hög tid att sätta sig in i hur den kommer att påverka företagets verksamhet, av flera anledningar.

1000

Kontakt

Konsult /rådgivare

KPMG i Sverige

Kontakt

Relaterat innehåll

EUs dataskyddsförordning, GDPR (General Data Protection Regulation), träder i kraft som lag inom hela EU/EES-området i maj 2018. Denna lag kommer att omfatta alla organisationer och myndigheter och det är hög tid att sätta sig in i hur den kommer att påverka företagets verksamhet.

Företag som inte efterlever de nya reglerna kan drabbas av mycket höga sanktionsavgifter. Men det kan även finnas andra goda anledningar till att utvärdera hur organisationens rutiner behöver anpassas till de nya reglerna.

Varför införs GDPR?

Att kunna dela personlig data finns det behov av både från individens och företagens sida och ofta innebär det stora fördelar. Dock finns även risker med detta, då personuppgifter som hamnar i fel händer lätt kan missbrukas, vilket kan leda till obehagliga konsekvenser inte minst för den enskilde.

Den snabba digitala utvecklingen har förändrat förutsättningarna för informationssäkerhet i grunden och har drivit på EU:s arbete med den nya dataskyddsreformen. Behovet av integritetsskydd vid användandet av sociala medier, informationsöverföring mellan EU:s medlemmar och e-handel över gränser har därmed ökat. Det finns också ett uttryckligt behov av att säkerställa konsumenters liksom anställdas rättigheter.

Ytterligare en orsak har varit att företag tvingats anpassa sig till en rad olika lagstiftningar då dessa skiljt sig en hel del åt i de olika medlemsländerna.

Möjligheter med GDPR

GDPR ska inte betraktas som ett myndighetskrav som enbart skapar en massa arbete, utan som något som också kan innebära möjligheter.

Många människor känner idag stor osäkerhet inför att släppa ifrån sig personuppgifter. Att lägga fokus på integritetsfrågan kan bidra till en bättre kundrelation.

Dessutom ger arbetet med en GDPR-anpassning av verksamheten i många fall ett tillfälle att få kontroll över information och rensa upp i gammal data. Ordning och reda på företagets verksamhetsprocesser ökar på sikt den interna effektiviteten.

Anpassningar till GDPR

Vid ett första påseende är det inte så stora skillnader mellan den nuvarande Personuppgiftslagen (PUL) och GDPR, men då glöms lätt att de små detaljerna kan ha stor påverkan. De företag som har dokumenterade processer och rutiner väl anpassade till PUL idag, ligger troligtvis ändå rätt bra till.

Först och främst måste man vara medveten om att en GDPR-anpassning i de allra flesta organisationer innebär en så pass omfattande förändring att ansvaret inte kan lämnas över till en enskild funktion och/eller person. Frågan berör ofta flertalet funktioner i företaget och inte minst är det en ledningsfråga.

Det är viktigt att förstå att alla företag och organisationer omfattas av GDPR, även om det finns någon enstaka lättnad för små företag. Varje företag måste sätta sig in i vad GDPR innebär för just dem.

 

Några viktiga saker att tänka på:

  • Ett första viktigt steg i förberedelsearbetet är att utreda hur och i vilka system personuppgifter behandlas. I motsats till PUL görs inte något undantag för ostrukturerad data och med andra ord gäller GDPR även för till exempel webbsidor och intranät, liksom för epostsystem.
  • De nya reglerna ställer mer långtgående krav på transparens och information, liksom på den enskildes rättigheter och samtycke. I och med detta är det nödvändigt att se över varje process där personuppgifter inhämtas för att säkerställa samtycke, liksom att kraven på information om behandlingen av data och individens rättigheter uppfylls.
  • Informationssäkerheten i företaget behöver med stor sannolikhet ses över. Många företag har redan väl dokumenterade rutiner för att säkerställa en hög nivå på denna. I och med att GDPR ställer krav på detta blir det viktigt att säkerställa att dessa är i överensstämmelse med lagstiftningen.
  • Krav på dokumenterade rutiner för incidenthantering, dvs. beredskap för att hantera situationer där personuppgifter kan ha äventyrats, är nya regler och finns sannolikt inte på plats i de flesta företag idag.
  • Ytterligare en mycket viktig punkt är att skapa medvetenhet i organisationen. Ingen dokumenterad process eller rutin i världen fungerar så länge den inte är kommunicerad och används av de anställda.
  • Arbeta riskbaserat! Utvärdera de största riskerna, prioritera dessa och sätt upp mål utifrån er organisations förutsättningar.

Kontakta oss

Vi på KPMG hjälper dig gärna om du känner att du behöver hjälp i arbetet med att anpassa verksamheten till GDPR. Vi har en väl utarbetad metodik för att på ett effektivt sätt göra en mognadsbedömning av företaget avseende GPDR, analysera risker och lägga upp en strategi för att sätta upp och nå beslutade mål.

 

Läs mer om GDPR från KPMG

ekonomi + effektivt + elektroniskt + enkelt = eService

ekonomi + effektivt + elektroniskt + enkelt = eService

Med eService från KPMG får du en modern digital lösning för din ekonomihantering.

Kontakta oss

 

Offertförfrågan

 

Skicka