Välkommen till Dropbox-vägledningscentret för GDPR

Detta vägledningscentrum syftar till att erbjuda användbar kunskap och praktiska åtgärder som organisationer kan vidta i arbetet med förberedelserna inför efterlevnad av nya allmänna dataskyddsförordningen, också känd under namnet GDPR, som träder i kraft 25 maj 2018.

Självklart skiljer sig resan mot GDPR-efterlevnad mellan olika organisationer. Den beror bland annat på företagets storlek, vilka slags data som behandlas och i vilken omfattning detta sker, samt vilka befintliga säkerhets- och sekretessprocesser som finns implementerade.

Gör er redo för GDPR

Organisationer med verksamhet i EU som behandlar personuppgifter tillhörande individer som har sin bas i EU måste i nästan alla fall uppfylla kraven i GDPR senast 25 maj 2018. GDPR innebär en uppdatering och en harmonisering av ramverket för behandling av personuppgifter i EU, och medför nya förpliktelser för organisationer och nya rättigheter för individer. Många organisationer, stora och små, förbereder sig ny för den nya förordningen. 

Dropbox har många års erfarenhet av att arbeta för att förtjäna våra användares förtroende. Vi är certifierade och uppfyller kraven för efterlevnad av världens alla gängse säkerhets- och sekretessförordningar och standarder, såsom ISO 27001/2, ISO27018/17 och SOC 2. Vårt tvärfunktionella team av dataskyddsspecialister har sammanställt kunskap och resurser som du kan använda i ert arbete mot GDPR-efterlevnad.

Introduktion

Vad är GDPR?

GDPR är en EU-förordning som fastställer ett nytt ramverk för hantering och skydd av personuppgifter tillhörande invånare med bas i EU-land. Den träder i kraft den 25 maj 2018.

Personuppgifter spelar en enormt viktig roll i samhället och ekonomin. Det är avgörande att människor har – och är medvetna om att de har – kontroll och översikt över hur deras personuppgifter används och beskyddas av organisationer som de interagerar med, och att organisationer får tydliga riktlinjer så att människors personuppgifter skyddas.

En av målsättningarna med GDPR är att harmonisera och sprida personuppgiftslagstiftning över hela Europa för att komma ifatt den snabba tekniska utvecklingen som ägt rum under de gångna tjugo åren. GDPR är en fortsättning på befintligt juridiskt ramverk inom EU, inklusive EU:s dataskyddsdirektiv som funnits sedan 1995.

GDPR: grunderna

Dropbox kommer att uppfylla kraven i GDPR innan 25 maj 2018. Du bör emellertid också arbeta för att utvärdera ditt företags status i god tid innan GDPR träder i kraft.

Hur kommer Dropbox att efterleva GDPR?

  • Förtroende utgör grunden för vårt förhållande med miljontals människor och företag världen över. Vi värdesätter det förtroende du gett oss och tar vårt ansvar att skydda din information på yttersta allvar.
  • ​​För Dropbox har dataskyddsfrågor alltid varit av yttersta vikt, och vi har historiskt sett alltid legat steget för inom efterlevnad av lagstiftning och normer. Till exempel var vi ett av de första molntjänstföretagen som uppfyllde kraven i standarden ISO 27018 – en internationellt erkänd standard för bästa praxis inom molnsäkerhet och dataskydd. ​​
  • Dropbox-teamen inom juridik-, förtroende- och sekretessfrågor har noggrant analyserat GDPR och vidtar nu alla nödvändiga åtgärder för att säkerställa att vi efterlever förordningen.
  • ​​Vi kommer att uppfylla kraven för GDPR innan 25 maj 2018 såsom bekräftas på vår hjälpcentersida.
Vilka skyldigheter har organisationer under GDPR? ​​
  • Det är viktigt att komma ihåg att du som företagskunds- och registeransvarig har specifika skyldigheter under GDPR.
  • ​​Du måste vara säker på att alla registerförare som du arbetar med har ett robust och tryggt arbetssätt kring dataskydd, och att de förstår skyldigheterna under GDPR och är väl förberedda att hantera dem.
  • ​​Kom ihåg att en registerförare aldrig kan erbjuda att ”lösa” GDPR-efterlevnad åt dig. ​​
  • Dropbox-guiden för delat ansvar beskriver våra strategier kring ett samarbete som håller dina data säkra och tydliggör Dropbox respektive våra kunders ansvarsområden.

GDPR: Viktiga nyheter

GDPR innebär ett helt nytt synsätt. Den introducerar flera nya uttryckliga principer som tidigare understödde dataskyddslagstiftningen, såsom ”ansvarighetsprincipen” och principen om ”inbyggd sekretess”, och uppmuntrar organisationer att ta större ansvar för skyddet av personuppgifterna som hanteras.

Inbyggd sekretess: Detta innebär att organisationer som hanterar personuppgifter måste fundera på dataskyddet redan när systemen konstrueras, och inte bara utvärdera sekretessimplikationer när en process eller produkt redan är klar. Om ni behandlar stora mängder data eller känslig information måste ni i många fall också genomföra en påverkansutvärdering för dataskyddet för att efterleva principen om inbyggd sekretess.

Användarrättigheter: GDPR utökar en befintlig uppsättning användarrättigheter och skapar flera helt nya rättigheter. Företag bör granska dessa och säkerställa att effektiva system finns på plats för att realisera dessa rättigheter.

Större krav på information vid intrång: Under GDPR är organisationer skyldiga att ha ett starkt system på plats för information vid intrång, och att förstå de specifika rapporteringsskyldigheter som föreligger.

Ansvarighet: Företag måste inte bara iaktta de principer som beskrivs i GDPR, utan måste också kunna demonstrera efterlevnad i enlighet med principen om ansvarighet. För detta krävs en omfattande och tydlig intern struktur för sekretesstyrning.

Personuppgiftsombud: Under GDPR krävs att företag som hanterar personuppgifter inom EU avgör om de bör utse ett personuppgiftsombud. Företag som rutinmässigt behandlar stora informationsvolymer eller särskilt känslig information bör överväga att utse ett personuppgiftsombud.

Dropbox resa till GDPR-efterlevnad

Precis som många av våra kunder förbereder vi på Dropbox oss också aktivt för GDPR.

På Dropbox är förtroendet grundbulten i samarbetet med miljontals människor och företag runtom i världen. Respekt för sekretess och säkerhet byggdes in i vår verksamhet från första början. Efterhand som vi växt har vårt fokus på hantering och skydd av de data våra kunder anförtror oss med fortsatt haft högsta prioritet.

GDPR överensstämmer med sättet vi tänker och bedriver verksamhet. Våra säkerhetsprocesser efterlever redan alla de vanligaste standarderna och förordningarna och vi var bland de första molntjänstföretagen att uppfylla kraven i ISO 27018 – en internationellt erkänd standard för bästa praxis inom molnsekretess och dataskydd.

Våra team inom juridik-, förtroende- och sekretessfrågor har noggrant analyserat GDPR, och vi vidtar nu alla nödvändiga åtgärder för att identifiera inom vilka områden vi är redo, och inom vilka områden som justeringar krävs. Vi är på väg mot fullständig efterlevnad innan maj 2018, och har förbundit oss att också hjälpa våra kunder i förberelserna.

Arbetar med dina leverantörer mot GDPR-efterlevnad

Lär dig varför leverantörerna är en viktig partner på din väg mot GDPR-efterlevnad

GDPR: förstå dina data

Lär dig grunderna inom GDPR och få information om åtgärder som kan hjälpa dig i förberedelserna inför GDPR.

En möjlighet att formulera om din datasäkerhetsstrategi

I grund och botten handlar GDPR om att förstå sina data och konstruera en säkerhetsstrategi kring denna kunskap.

Friskrivningsklausul: Denna sajt är tänkt att ge användbara råd till kunder kring GDPR, och är inte att betrakta som en fullständig lösning eller juridisk rådgivning. Alla organisationer måste vidta egna åtgärder för att säkerställa efterlevnad.