GDPR, eller officiellt den allmänna dataskyddsförordningen 2016/679, träder i kraft den 25 maj 2018.
Det betyder att du nu har mindre än 19 månader på dig att förbereda dig för den största omvälvningen av dataskyddet under det senaste decenniet. Företag, deras anställda och tredje parter har alltså mindre än 19 månader på sig att förbereda sig för betydande störningar i det sätt på vilket de lagrar, hanterar och behandlar personuppgifter.
Så hur kan du som företag se skogen för träden? Vad bör ni fokusera på och om ni skulle kategorisera dem i en topp 5-lista över de saker som ni som företag bör göra, vilka skulle de vara?
- Förstå GDPR:s räckvidd
- Förstå GDPR:s räckvidd
Enkelt uttryckt är den främsta skillnaden mellan den tidigare dataskyddsförordningen och den nya GDPR-förordningen ålder. Liksom många av våra förfäder föddes den förra förordningen under en tidigare generation, innan Internet, Facebook och Google tillkom, till exempel. Den nya förordningen har ett expansivt tillämpningsområde som är långtgående.
För det första måste alla företag som behandlar EU-medborgares personuppgifter eller övervakar deras beteende, eller som kan ha personal som arbetar i EU, följa GDPR. GDPR har också en extra territoriell räckvidd och därför kan GDPR fortfarande vara tillämplig om du är en organisation utanför EU som inte ens har en fysisk närvaro i EU.
- Identifiera införandet av ytterligare skyldigheter
Dataskyddsförordningen kräver öppenhet när det gäller information till enskilda personer om behandlingen av deras personuppgifter. Det är viktigt att organisationer ser över sina integritetsmeddelanden och policyer för att se till att all nödvändig information lämnas till enskilda personer.
Samtycke är fortfarande en av grunderna för vidare behandling i den nya förordningen, men det finns nu ett högre tröskelvärde än tidigare. Med tanke på det högre tröskelvärdet bör organisationer fokusera på att få ett tydligt och tydligt samtycke från kunderna om de vill åberopa denna motivering för behandling. Det är också värt att notera att bevis eller bevis för detta samtycke är avgörande, och att loggningen och bevarandet av uppgifter därför måste vara av hög standard.
- Öka medvetenheten om den registrerades rättigheter.
Dataskyddsförordningen har infört en del nya och utökade rättigheter för enskilda personer när det gäller deras personuppgifter. De registrerade har rätt att få tillgång till, överföra, begränsa och invända mot behandlingen av sina personuppgifter. De registrerade kan också kräva att deras personuppgifter överförs till dem eller direkt till en ny leverantör i ett interoperabelt, maskinläsbart format. Detta gäller om uppgifterna har lämnats av den registrerade till den registeransvarige, behandlas automatiskt eller behandlas på grundval av samtycke eller uppfyllande av ett avtal. För alla organisationer är rätten att överföra personuppgifter något som kräver planering och förberedelser så att dina anställda kan ha alla nödvändiga resurser tillgängliga för att hantera sådana förfrågningar.
- Utbilda, utbilda, utbilda eller bli tillrättavisad
Enligt det nuvarande dataskyddsdirektivet finns det stora skillnader mellan medlemsstaterna när det gäller ekonomiska påföljder. I den nya lagstiftningen om dataskyddsförordningen kommer däremot tillsynsbefogenheterna att ökas avsevärt, inklusive de böter som kan tas ut och som når en topp på 20 miljoner euro eller 4 % av den totala världsomfattande omsättningen.
Med tanke på de betydande böter som kan utdömas bör organisationer investera tid och resurser i att följa GDPR. Detta inkluderar utbildning av alla olika intressenter, från chefer till tredjepartsbehandlare som påverkar din förmåga att uppnå och upprätthålla GDPR-överensstämmelse.
- Ta itu med GDPR direkt och agera skyndsamt
För att citera Leonardo da Vinci: "Jag har imponerats av hur brådskande det är att göra. Det räcker inte att veta. Vi måste tillämpa det". Detta är den typ av tankeledarskap som organisationer måste ha om de ska kunna hantera GDPR.
En kultur av efterlevnad är avgörande för organisationens framgång när det gäller GDPR, personalutbildning och tydliga policyer måste finnas på plats. Detta kommer också att tillgodose behovet av GDPR:s bestämmelser om ansvarsskyldighet. Processerna för hantering av integritetsincidenter måste vara tydliga och kortfattade och relaterade interna policyer bör ses över för att säkerställa att databrott hanteras omedelbart och genom rätt process.
Är du intresserad av att planera ditt tillvägagångssätt för GDPR-efterlevnad så tidigt som möjligt och få stöd från viktiga intressenter i din organisation?
Om du behöver hjälp med ditt GDPR-projekt har vi samarbetat med ämnesexperter för att producera GDPR for Dummies i samarbete med Wiley, det officiella Dummies-märket. Du kan beställa ditt gratisexemplar här.
MetaCompliance har utformat och skapat eLearning-kurser som kan hjälpa din organisation att öka medvetenheten bland de anställda och samtidigt engagera den högsta ledningen för att se till att de köper in. Kontakta MetaCompliance och få veta hur dess bibliotek och medvetandegörande tjänster för cybersäkerhet och e-lärande kan hjälpa dig att bygga upp GDPR-överensstämmelse i din organisation ur ett informationsskydds- och informationssäkerhetsperspektiv.