PWC reder ut missförstånd om GDPR

Dataskyddsförordningen, GDPR, trädde i kraft i somras, men fortfarande verkar en del företag tveksamma till vad som gäller.

Annons

Få lär väl ha missat EU:s dataskyddsförordning, GDPR, med tanke på hur många mail företagen skickat till sina kunder om att nya regler nu gäller. Exakt vad reglerna innebär för företagen verkar dock inte vara helt klart på alla håll.

PWC har under de månader som GDPR varit i kraft stött på företag som missförstått en eller annan del av GDPR. Fem vanliga missuppfattningar finns nu samlade i ett blogginlägg och de är som följer:

  1. Alla måste ha ett dataskyddsombud. För alla myndigheter och offentliga organisationer är det obligatoriskt att ha ett dataskyddsombud. Så även för vissa företag, men inte för alla. Många företag tror att alla behöver ett dataskyddsombud. Rekommendationen är att ha en motsvarande roll men att kalla den rollen för något annat än dataskyddsombud för att undvika missförstånd. Väljer man att frivilligt utse ett dataskyddsombud gäller samma krav för dataskyddsombudets status, ställning och uppgifter som om utnämningen hade varit obligatorisk.
  2. Anlita ett personuppgiftsbiträde för att avskriva sig ansvaret. Att man helt kan avtala bort ansvaret för hantering av personuppgifter genom att anlita ett personuppgiftsbiträde stämmer inte. Företaget (som är personuppgiftsansvarig för sin verksamhet) kan inte helt avtala bort ansvaret oavsett hur många personuppgiftsbiträdesavtal som tas fram.
  3. Samtycke och kryptering är ett måste. Alla personuppgiftsbehandlingar behöver inte samtycke. Samtycke är endast en av flera lagliga grunder för att få behandla personuppgifter. Kryptering är en av flera säkerhetsåtgärder och vilken åtgärd som är mest lämplig för att skydda personuppgifterna måste analyseras från fall till fall.
  4. Nu (efter 25 maj) kan man lägga GDPR-arbetet lite åt sidan. Efterlevnad av GDPR är en ständig process och det behöver finnas en plan för uppföljning av efterlevnaden och denna bör vara integrerad med övrigt säkerhetsarbete.
  5. Nyheter i GDPR går före grundläggande krav i personuppgiftslagen. Många uppfyllde inte personuppgiftslagen, Pul, tidigare, men har ändå i stort sett endast fokuserat på specifika nyheter i GDPR. GDPR innehåller några viktiga nyheter, men innan fokus läggs på nyheterna bör man se till att man uppfyller grundprinciperna och de mest grundläggande kraven.