5-årsjubileum för GDPR

Med anledning av 5-årsdagen av den allmänna dataskyddsförordningen (GDPR) som antogs av Europeiska unionen 2016 och trädde i kraft i alla medlemsstater den 25 maj 2018 - skulle vi vilja belysa denna lag som handlar om skyddet av våra personuppgifter.

Den 25 maj 2023 är det fem år sedan GDPR började tillämpas i samtliga 27 medlemsstater i Europeiska unionen.

Den allmänna dataskyddsförordningen, även känd som GDPR (Europaparlamentets och rådets förordning (EU) 2016/619 av den 27 april 2016), är en text som handlar om skydd av individer med avseende på behandling av personuppgifter och den fria rörligheten för sådana uppgifter. Denna förordning ersätter direktiv 95/46/EG som antogs 1995 och blir en referens för skydd av personuppgifter.

Syftet med förordningen är att stärka och harmonisera dataskyddet för enskilda inom EU, öka skyddet för personer som påverkas av behandlingen av personuppgifter och göra de aktörer som behandlar dessa uppgifter ansvariga. Dessa principer kan genomföras genom ökade befogenheter för tillsynsmyndigheterna.

 

I januari 2012 föreslog Europeiska kommissionen en omfattande reform av dataskyddsreglerna i EU. Denna reform omfattade uppdatering och modernisering av de principer som fastställs i EU:s dataskyddsdirektiv från 1995 genom denna allmänna dataskyddsförordning, samt utarbetandet av ett nytt direktiv om skydd av personuppgifter inom ramen för brottsbekämpande och rättslig verksamhet ("direktivet om rättsliga och polisiära frågor").

Europaparlamentet ändrade och antog förordningen den 12 mars 2014. Därefter förhandlades den mellan delegationerna för Europeiska kommissionen, Europaparlamentet och Europeiska unionens råd, och förhandlingarna avslutades den 15 december 2015. Utskottet för medborgerliga rättigheter, rättsliga och inrikes frågor (LIBE) röstade om utkastet till förordning den 17 december 2015. Den europeiska förordningen offentliggjordes i Europeiska unionens officiella tidning den 4 maj 2016 och trädde i kraft den tjugonde dagen efter offentliggörandet. Bestämmelserna blev direkt tillämpliga i alla 27 EU-medlemsstater från och med den 25 maj 2018.

 

GDPR innebär att personuppgifter måste behandlas för ett ändamål, endast nödvändig information får samlas in, de måste uppdateras, de får inte lagras längre än nödvändigt och de måste säkras med tekniska och organisatoriska åtgärder.

Den registrerade har bland annat rätt att få tillgång till sina personuppgifter, rätt att rätta och radera information, samt invända mot behandling.

Faktum är att efter fem år med GDPR har företagen varit tvungna att ta ett mer aktivt grepp om integritetsfrågorna. De måste anpassa organisationen, policyerna och rutinerna för att skydda integriteten från insamling till dess att uppgifterna inte längre behandlas.

Det är mycket att sätta sig in i, särskilt för små och medelstora företag, och många upplever kraven i standardiserade regelverk som både svåra att implementera och efterleva, men så behöver det inte vara. Här är tre rekommendationer:

1. Få en överblick över alla personuppgifter som behandlas i verksamheten och samla dessa i ett behandlingsprotokoll. Skapa processer för att säkerställa att hanteringsprotokollet uppdateras kontinuerligt.
2. Gör alltid riskbedömningar när personuppgifter behandlas. Beakta både de registrerades rättigheter och friheter samt tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Genomför DPIA vid behov. Skapa processer för implementering.
3. Säkerställa god utbildning av alla anställda i företaget, anpassad till deras roller och ansvarsområden. Att skydda er integritet är ett delat ansvar!

Dataskydd är ett komplicerat område, och det är en utmaning för alla företag att ha sådan specialistkompetens in-house. Orange Cyberdefense kan kopplas in för att identifiera hur ditt företag följer GDPR, upptäcka svagheter och säkerställa att detta tas om hand från A till Ö. Teamet börjar vanligtvis med att genomföra en mognadsbedömning, som visar hur moget företaget är inom integritet, över människor, processer och system. Därefter förbereder de en strategisk färdplan i samråd med kunden, som hjälper dem i deras arbete med regelefterlevnad och att förbättra integritetsmognaden. Programmet anpassas alltid efter kundens behov. Till exempel anpassar vi medarbetarutbildningen. Både till olika branscher och verksamheter, men också till olika roller och avdelningar inom en organisation.

Oansvarig hantering av personuppgifter kan få långtgående konsekvenser, både för de individer som drabbas - och för ert företag. På Orange Cyberdefense kan vi hjälpa er att vidta åtgärder. Om ni vill prata med oss för att se hur ert företag bäst skyddar sig mot GDPR ur ett juridiskt, organisatoriskt och tekniskt perspektiv, är ni välkomna att kontakta oss.

Kontakta oss