Kontakta oss

Missuppfattningar om GDPR - från pappersdokument och molntjänster till kryptering och informationsläckage

Den allmänna dataskyddsförordningen (GDPR) ska se till att lagarna för datasekretess harmonieras både inom och utom EU. Men känner du till alla fakta? Nedan sticker vi hål på några myter om GDPR och företagens skyldigheter.

General Data Protection Regulation (GDPR) – den allmänna dataskyddsförordningen – är ett omfattande regelverk som träder i kraft den 25 maj 2018. Det är ett regelverk som syftar till en enhetlig personuppgiftslag för alla EU-länder. Det har ett brett tillämpningsområde som omfattar alla företag och organisationer inom EU som administrerar, bearbetar eller hanterar personuppgifter.

Enligt GDPR måste organisationer av alla storlekar definiera och implementera datasäkerhetsåtgärder som skyddar kunders och anställdas personuppgifter. Organisationer måste införa rutiner som gör det möjligt för individer att granska och revidera information om dem som ett företag har lagrat. Företagen måste dessutom skydda lagrade personuppgifter mot intrång och informationsläckage.

Företag kan behöva uppdatera eller börja använda verktyg för dokumenthantering, utskriftshantering och dokumentarkivering (moln- eller serverbaserade).

Brist på efterlevnad av GDPR kan leda till böter upp till 20 miljoner euro eller fyra procent av företagets totala årsintäkt. Det är därför avgörande att alla företag förstår sina skyldigheter och vikten av att efterleva GDPR.

GDPR antogs av EU den 27 april 2016, med en tvåårig övergångstid innan direktivet träder i kraft från den 25 maj 2018. Under denna tid har många frågor aktualiserats om regelverket och hur det ska fungera i praktiken. Nedan går vi igenom några vanliga frågeställningar och missförstånd om utskrift, scanning och digital lagring av data.

Gäller GDPR endast digital information?

Även om många företags fokus kommer att vara hantering och lagring av personuppgifter i digital form gäller det nya regelverket även information i pappersform. 

De inneboende problem som är förknippade med lagring av personuppgifter i pappersform är att enligt de nya bestämmelserna måste personuppgiftsbiträdet veta var dokumentet lagras, hur många exemplar av informationen som existerar samt hur denna information kan göras tillgänglig för en individ som begär att få se sina personuppgifter.

För många företag kan GDPR lättast efterlevas om alla pappersdokument digitaliseras. Detta kan göras genom scanning och lagring av dokumenten antingen lokalt eller via en molntjänst med hjälp av ett system som är förenligt med det nya regelverket. 

Gäller GDPR även småföretag?

Om ditt företag lagrar personuppgifter för medborgare bosatta inom EU så måste företaget efterleva GDPR, oavsett verksamhetens omfattning. I vissa fall har eftergifter gjorts för små verksamheter. Emellertid ställs som villkor att "databearbetning eller övervakning av individer" måste vara en del av företagets kärnverksamhet. Det är därför säkrast att anta att ditt företag måste efterleva regelverket.

Gäller GDPR USA? Gäller GDPR utanför Europa?

GDPR gäller alla företag som bedriver handel med ett EU-land och lagrar personuppgifter för individer bosatta i ett EU-land. Detta är viktigt att förstå. Oavsett från vilket land handel bedrivs så måste företaget efterleva GDPR om det bedriver handel med ett EU-land, eller riskera höga böter.

Gäller GDPR data som vi lagrar via en molntjänst? 

Många företag tror att genom att lagra data i molnet så är det molntjänstleverantörens ansvar att GDPR efterlevs, och inte det enskilda företaget. Detta är inte fallet, och ett sådant missförstånd kan lätt leda till att du i förlängningen tvingas betala höga böter.

Som nämnts ovan omfattar GDPR såväl pappersbaserade som digitala dokumentlager. Alla platser där företaget lagrar personuppgifter omfattas av regelverket, och måste därför efterleva GDPR.

Innebär kryptering av våra data att vi efterlever GDPR? 

Om företaget lagrar data online bör kryptering redan tillämpas som ett första steg att skydda informationen. Kryptering i sig själv är emellertid inte tillräcklig för att uppfylla GDPR-kraven, vilket kan leda till ditt företag bötfälls.

Är GDPR det enda regelverket avseende databearbetning?

Även om GDPR ersätter en stor del av lagstiftningen i Europa och förenklar rutinerna för databearbetning, så är det inte det enda regelverket som företag av alla storlekar måste följa. Oavsett företagets storlek måste gällande nationella integritetsbestämmelser efterlevas, vilka kan variera mellan olika länder. 

Efterlever vi GDPR om vi efterlever våra gällande nationella integritetsbestämmelser?

Som nämnts ovan är GDPR fristående från ett enskilts land integritetsbestämmelser, även om GDPR syftar till att förenkla många bestämmelser för databearbetning i Europa. Även om ditt företag efterlever GDPR måste det därför efterleva även de nationella integritetsbestämmelser avseende personuppgifter som gäller i det land där du är verksam.

Med Sharps omfattande säkerhetslösningar som inkluderar både hårdvaru- och programvaruprodukter i kombination med vårt gedigna arv av teknisk rådgivning och hanterade utskriftstjänster kan vi hjälpa ditt företag att uppfylla GDPR-kraven.

Om du vill ha mer information om hur vi kan hjälpa dig att efterleva GDPR i ditt företag, kontakta oss.

Kontakt

STEFAN LÖGDBERG
Nordic Commercial Director
stefan.logdberg@sharp.eu

Social