25 Apr NU BÖRJAR NEDRÄKNINGEN!
– 1 MÅNAD KVAR TILL GDPR SKA TILLÄMPAS
Med en månad kvar är det hög tid att kontrollera vad som gjorts inom GDPR-projektet. Om du som styrelseledamot, chefsjurist eller VD ska granska GDPR-projektet kommer här några av de kontrollfrågor vi som experter inom persondataskydd ställer när vårt uppdrag innebär att GDPR-projektet ska kontrolleras.
- Har inventering utförts av organisationens personuppgiftsbehandlingar med genomgång av samtliga system & applikationer och andra typer av behandlingar?
- Har en GAP-analys utförts av inventeringen som visar organisationens regelefterlevnad i förhållande till GDPR?
- Vilka GAP uppvisar analysen och vilka implementationsåtgärder har identifierats för att stänga GAP:en (bör finnas per system/applikation/behandling och på övergripande nivå)?
- Vilka implementationsåtgärder har organisationen valt att prioritera och i vilken omfattning är åtgärderna vidtagna?
- Har nya personuppgiftsbiträdesavtal träffats med samtliga leverantörer (personuppgiftsbiträden) som behandlar personuppgifter?
- Har instruktioner till biträdesavtalen tagits fram med IT-säkerhetskompetens som anger de tekniska och organisatoriska säkerhetsåtgärder som leverantören måste beakta?
- I vilken omfattning förekommer tredjelandsöverföring (utanför EU/EES) av personuppgifter inom organisationen eller genom leverantören och hur har man säkerställt att sådana sker rättsenligt?
- Behöver organisationen utse ett dataskyddsombud och om så är fallet, vem har utsetts?
- Har man tagit ställning till om konsekvensanalys avseende dataskydd behöver utföras och om så är fallet är den genomförd?
- På vilket sätt har styrdokument (policys, processer m.m.) uppdaterats med anledning av GDPR och hur kommer GDPR-frågor löpande rapporteras, följas upp och kontrolleras?
Påminn också projektet om att man som personuppgiftsansvarig och personuppgiftsbiträde har en skyldighet att visa att man uppfyller kraven i GDPR och att det därför är viktigt att dokumentera GDPR-arbetet.
LYCKA TILL!
Christina Wikström är advokat & managing partner hos Wikström & Partners med mångårig erfarenhet av juridisk rådgivning inom IT, IP och persondataskydd.