GDPR kan för många kännas lite som en obekväm tvångströja, men oavsett hur du ser på de nya kraven så kommer dessa att införas nästa år. Därför kan det vara smart att se förordningen som en möjlighet och använda denna för att skapa en överblick över din verksamhets nuvarande systemlandskap. Dessutom kan du passa på att effektivisera flödet av data och förbättra systemen i hela organisationen i samband med arbetet för GDPR-efterlevnad.
Få kontroll och översikt
Det första du bör göra är att noggrant se igenom de nya reglerna och utifrån detta utvärdera vilken påverkan detta får på din verksamhet. Detta är inte en helt okomplicad uppgift. Även om du förmodligen har bra koll på de system ni själva driftar – hur de fungerar och vilka möjligheter de erbjuder – är det ofta svårt att bedöma om företaget har allt på det torra, rent juridiskt. Om den juridiska expertisen i organisationen är begränsad kan det vara värt att ta hjälp av en advokat eller en specialist på området som kan göra en kvalificerad bedömning av situationen.
Vikten av ledningens uppbackning
Du bör också säkerställa att ledningen känner till vilka konsekvenserna kan bli av att inte följa GDPR. Det är kritiskt att du får uppbackning av ledningen så att tillräcklig tid och resurser kan frigöras i arbetet med att göra verksamheten GDPR-compliant. De flesta chefer tar förmodligen den nya förordningen på allvar, men om du känner att den arbetsinsats som skall till för att kunna möta de nya kraven inte tas på allvar, kan du gott påminna chefen om konsekvenserna av att inte följa förordningens krav.
Datalagring med hänsyn till geografisk lokalisering
Är verksamheten representerade i flera EU-länder (eller utanför), bör du ta reda på vilken myndighet som ansvarar för tillsynen av de personuppgifter som du lagrar. Lagrar ni data utanför EU, eller ger personer som sitter utanför EU tillgång till data måste du undersöka vilka konsekvenser detta kan medföra. Kom ihåg att det inte är ID eller nationalitet på den person som har åtkomst till datan som avgör om datan anses ligga utanför EU eller inte, utan lokaliseringen av den person som behandlar personuppgifterna.
Arbetar verksamheten med stora mängder data behöver du utse ett dataskyddsombud (även kallat Data Protection Officer, DPO). Dataskyddsombudet ska fungera som en länk mellan ledning, personer som ni har registrerade i era egna system och Datainspektionen.
Tips till IT-avdelningen
IT-avdelningen behöver skapa sig en överblick över vilken data som lagras på personer (kunder, leverantörer, besökare och användare) och i vilka system datan är registrerad. Lagras någon data manuellt? Är den lagrad på olika nätverk eller i olika molnlösningar? En grundlig analys bör göras för att säkerställa att ni har full koll på vart olika typer av persondata lagras.
Utvärdera tillsammans med en IT-expert om befintliga system är säkra och om systemet stödjer de rättigheter som registrerade användare har. Bland annat har användare, enligt GDPR, rätt att raderas från ditt system för gott. Dessutom måste företag med över 250 anställda registrera och dokumentera vem/vilka som redigerar persondata, och vilka kategorier av data som behandlas. Båda dessa krav kan låta som enkla uppgifter, men tänk på att de system ni använder bör ha funktionalitet och stöd för att effektivt och i större skala kunna efterleva kraven.
Målet är naturligtvis att undvika säkerhetsbrister i systemen, men om det värsta skulle inträffa är det viktigt att vara förberedd. Säkerhetsöverträdelser måste rapporteras till myndigheterna inom 72 timmar, och personer som drabbas av säkerhetsbristen måste också informeras så snabbt som möjligt. Se därför till att du har rutinerna klara ifall något oväntat händer.
Om du vill lära dig mer om hur vi kan automatisera dina HR-processer, stödja arbetsflöden och säkra dina anställdas data, kan du börja ladda ner vår gratis e-bok här nedan!