Dataskydd & GDPR-projekt

DATASKYDD

Vi kommer närmare och närmare den 25 maj 2018 – ett datum som numera börjar bli relativt välkänt för alla som kommer i kontakt med personuppgifter, andra dataskyddsfrågor samt informationssäkerhetsaspekter. Anledningen är att dataskyddsförordningen/DF/GDPR (vi använder oss av GDPR) börjar tillämpas.

Mycket av det som gäller idag kommer fortsätta att vara aktuellt också efter nämnda datum. I tillägg införs också en rad nya regleringar som många aktörer och organisationer behöver känna till. Inte minst gäller det hur ett samtycke från en registrerad lämnas för att vara giltigt, personuppgiftsbiträdets ansvar och hur personuppgiftsbiträdesavtal ska ingås, vilken information som ska lämnas i olika sammanhang och under vilka förutsättningar ett register ska föras samt ett dataskyddsombud utses (och vilka kvalifikationer m.m. som ställs på ett sådant ombud). Vidare införs en del nyheter (där vissa gäller redan enligt dagens praxis m.m. men som nu införs direkt i förordningstexten) vad gäller de registrerades rättigheter (och därigenom vilka krav som ställs på framför allt personuppgiftsansvariga samt på funktionaliteten på system etc.).

I stort sett alla företag, organisationer och myndigheter – stora som små – måste fundera över hur dess verksamhet behöver anpassas för att vara i enlighet med GDPR. Inte minst då förordningen innehåller ett relativt omfattande sanktionssystem som inte bara kan aktualiseras i förhållande till en personuppgiftsansvarig utan också gentemot ett personuppgiftsbiträde.

Vi har kunskapen och erfarenheten att se till att varje bolag och myndighet faktiskt uppfyller de nya kraven.

GDPR-PROJEKT

Utformningen av ett GDPR-projekt är till viss del beroende av relevant verksamhet och vilka typer – och omfattningen – av uppgifter som behandlas. För en översikt över hur W&P normalt som utgångspunkt hanterar GDPR-projekt hänvisas till tabellen nedan – vilken givetvis måste ses över och anpassas efter de närmare förutsättningarna och den närmare interna hanteringen.

Ett GDPR-projekt kan bli omfattande och det kan därför finnas skäl att prioritera exempelvis kritiska system och tjänster för att tillse att dessa och hanteringen inom systemet/tjänsten uppfyller kraven enligt GDPR. Vi föreslår normalt att en sådan översyn sker inledningsvis i projektet och att – baserad på den inventeringen – eventuella delprojekt sätts upp.

Det är också viktigt att se över och fundera över den rättsliga grunden för behandlingen. Detta kan få betydelse för den närmare behandlingen och de funktionskrav som bör ställas på system vari personuppgifter behandlas. Därför bör även denna fråga hanteras inledningsvis i projektet.

Under projektet är det av stor betydelse att organisationen internt frigör resurser som har möjlighet att assistera i kunskapsinhämtningen kring funktioner i system etc samt vilken dokumentation som behöver tas fram och anpassas samt andra relevanta överväganden. Det är inte minst viktigt att organisationen är medveten om att ett GDPR-projekt inte endast rör IT-avdelningen utan att det måste finnas ett samarbete mellan alla relevanta avdelningar i organisationen.

Det bör också ske en utbildning av organisationen för att alla berörda ska vara uppdaterade – åtminstone på ett generellt plan – kring GDPR och de nya regelverken som aktualiseras i anledning av GDPR. Vi tror också att det är viktigt att det efter en implementeringsfas sker en aktiv kontroll över att alla delar är på plats och att det sker uppföljande kontroll med någorlunda intervaller.

Som utgångspunkt använder vi normalt oss av följande övergripande projektplan:

Etablera projektet

Syfte & mål

Projektorganisation

Arbetsmetod

Tidplan

Budget & resurser

Delprojekt

Inventera organisationen och verksamheten

Vilken behandling sker och var och hur? Vilka uppgifter behandlas? Varför?

Processer

Avtal

IT-miljö & system

Mappning av den behandling som sker

Analys och rapport

Hur förhåller sig den befintliga behandlingen till GDPR?

Anpassa verksamheten – hur eliminera eventuella gap?

Rekommenderade ”actions”

Implementering

System

Behandling

Arbetssätt

Policy

Riktlinjer

Roller mm.

Kontroll

Testa och följa upp (fungerar system och rutiner mm.)?

Efterföljs GDPR också framöver?

Kontakta oss gärna för mer information

Christina Wikström

Advokat & Managing Partner

christina@wikstrompartners.se

Tel: +46 (0)70 691 68 00

 Jens Forzelius

Advokat & Partner

jens@wikstrompartners.se

Tel: +46 (0)708 600 617