De största kraven ligger självklart på organisationen.
GDPR kommer innebära stora förändringar och de som först och främst har ansvar för att dessa förändringar kommer att ske är just organisationen.
Det finns en hel del som behöver ses över för att sedan kunna utforma rutiner:
- Finns det någon i organisationen som är insatt i den nya lagen,
- Vem ska vara ansvarig för att GDPR följs,
- Vilka personuppgifter hanteras,
- Används missbruksregeln (sidoregel i PuL som kommer avsättas),
- Vilken information samlas/lämnas,
- Tillgodoses de registrerades (nya) rättigheter,
- Vilka rättsliga skäl finns det för personuppgifterna,
- Finns samtycke, om inte hur ska detta inhämtas,
- Finns det personuppgifter om minderåriga,
- Vad ska göras vid felhantering,
- Vad finns för skydd för personuppgifterna.
Efter detta är gjort behöver ruti
ner upprättas och förändring ske rent fysiskt på plats. De uppgifter som finns (även från tidigare) måste kollas genom och ses över. Behövs alla uppgifter, finns det lagliga skäl till att behålla dem.
Personuppgifter ska vara skyddade vilket innebär att de inte längre får finnas i löpande text, t.ex. i e-post utan även här behöver det rensas och ses över.
Desamma gäller om det finns utskrifter med löpande text.
Som tidigare nämnt ska alla uppgifter även räknas som skyddade. Detta gäller oavsett om organisationen använder sig av ett manuellt system (pärmar) eller om det sker mer automatiskt som t.ex. i en databas. Uppgifterna måste vara skyddade och de får alltså inte finnas tillgängliga för de som inte är behöriga – vilket också är ett krav på organisationen, att se över vilka som faktiskt ska vara behöriga.
Tanken är inte att ett helt kontor ska ha tillgång till alla personuppgifter – om det inte är så att de faktiskt behöver det.
En stor förändring med GDPR är att de krävs dokumentation
på hur organisationen faktiskt följer GDPR. Det gäller allt ifrån vem som är ansvarig (dataskyddsombud) men också hur organisationens rutiner ser ut och vad som görs för att följa GDPR.
Detta är en viktig del då det är något som Dataskyddsinspektionen kommer att be om.
Ett annat krav på organisationen är rapportering. Främst till Datainspektionen de gånger det finns risk för att personuppgifterna hamnat i fel händer, men också till individen de gånger de finns risk för att t.ex. någon försöker stjäla någon annans identitet.
Denna rapportering ska ske inom 72 timmar från det att uppgifterna läckt ut.
Skulle organisationen inte följa GDPR eller misslyckas vid en inspektion så riskerar de att få betala en administrativ sanktionsavgiften som kan uppgå till hela till 20 miljoner euro eller fyra procent av hanterarens globala omsättning.
Summan kan anses vara hög men det är också en fråga om att ta GDPR på allvar och göra de förändringar som faktiskt krävs för att den nya lagen ska följas.