EU:s allmänna uppgiftsskyddsförordning: Fem konsekvenser för tryckbranschen

EU:s allmänna uppgiftsskyddsförordning (GDPR) träder i kraft i maj 2018. Om din organisation hanterar personuppgifter för EU-medborgare måste ni från och med detta datum följa denna förordning eller riskera böter på upp till 20 miljoner euro eller 4 % av företagets årliga globala omsättning.

Så vad innebär de nya lagarna för tryckbranschen? Här är fem viktiga startpunkter:

1. Förstå termerna ”registeransvarig” och ”registerförare”
Det första steget för alla företag inom tryckbranschen är att förstå om de är klassade som registeransvarig eller registerförare (”data controller” eller ”data processor”). Båda har skyldigheter under den nya lagstiftningen. En registeransvarig fastställer ändamålen och medlen för behandlingen av personuppgifter (t.ex. en bank) och en registerförare behandlar dessa uppgifter på uppdrag av registeransvarig (t.ex. ett tryckeri).

Alla organisationer, oavsett klassifikation, kan behöva tillsätta en dataskyddsansvarig. Dataskyddsansvarig arbetar tillsammans med andra avdelningar och har bland annat ansvar för att se till att GDPR-reglerna följs, ge råd och information till organisationen och de anställda om deras skyldigheter, samt fungera som kontaktperson för tillsynsmyndigheter och individer vars personuppgifter behandlas.

2. Register över uppgiftsbehandling
Enligt den nya lagstiftningen måste både registeransvariga och registerförare föra register över uppgiftsbehandling och göra dessa register tillgängliga för tillsynsmyndigheter på begäran.

Hur ska registeransvariga hålla koll på dataflödet? Ett sätt är att genomföra övningar i kartläggning av data som ger en heltäckande bild av de uppgifter som samlas in, behandlas och lagras, och som spårar dataflödet bland affärsenheter och underentreprenörer eller tredje parter. Dessa kartläggningsövningar måste också upprepas eftersom ändringar kan ske i sättet som uppgifter samlas i, eller så kanske system, processer eller procedurer ändras under uppgifternas livscykel.

3. Enskildas rättigheter
Noggrann tillsyn och spårning av personuppgifter är ett måste för att uppfylla de strikta GDPR-reglerna om enskildas rättigheter. Dessa är bland annat rätt till information, rätt till uppgiftsportabilitet och rätt till utplåning (även kallad ”rätten att glömmas”).

Föreställ dig att en individ vill att deras personuppgifter ska raderas eller, om tillämpligt, att behandlingen av uppgifterna stoppas. Tryckföretag, i sin roll som registerförare, kan få i uppdrag att hjälpa registeransvariga med ansökningar om åtkomst. Detta kräver att registerförare måste leta upp specifika personuppgifter som ska avlägsnas eller förstöras på uppmaning av en registeransvarig eller en individ.

4. Principen ”Security and Privacy by Design”
Den nya GDPR-rapporteringstiden för varningar om dataintrång, som innebär att registeransvariga har 72 timmar på sig att rapportera dataintrång till tillsynsmyndigheter, har fått mycket uppmärksamhet. GDPR kräver också att registeransvariga måste meddela registerförare utan onödigt dröjsmål när de har upptäckt ett personuppgiftsbrott.

För att undvika böter och ett skadat anseende, vilket kan ske vid dataintrång, måste tryckbranschen upprätthålla en högre säkerhetsstandard än någonsin tidigare. Tryckföretag bör införa lämpliga tekniska och organisationsmässiga åtgärder för att säkerställa en säkerhetsnivå som är i proportion till riskerna.

I samband med den ökade användningen av Internet of Things (IoT) och fler trådlösa enheter som har tillgång till nätverk, har det växt fram nya cyberhot som har en inverkan på skrivarteknik. Moderna skrivare och smarta enheter måste ha säkerhet i flera lager som innefattar intrångsskydd, enhetsidentifiering, dokument- och dataidentifiering och samarbete med externa säkerhetsspecialister. Det är nödvändigt att hålla personuppgifter säkra, till exempel genom kryptering. När uppgifterna inte längre behövs ska de raderas på ett lämpligt sätt.

Produktfunktioner som åtkomstkontroll (se till att endast behöriga användare har tillgång till utskriftsenheter) och säker utskrift (endast göra dokument tillgängliga för utskrift när användaren skriver in sin unika pinkod) hjälper till att hantera säkerhetsriskerna.

Allt eftersom säkerhetsarbetet blir allt mer betungande är det troligt att servicenivåavtal (SLA) för säkerhet – inklusive åtagande om datakryptering och tvåfaktorverifiering – förekommer allt oftare i kontrakt.

5. Konsolidering av nätverk
Många projekt för tryck av transaktionsdokument innefattar flera olika partners för komplicerade direktutskickskampanjer (en byrå för insticksblad, en för brev, en för sammanställning osv.), vilket leder till sämre kontroll över innehållet och ökar risken för exponering.

GDPR-kraven kan leda till ökad försäljning för större OEM-företag. Kunderna kanske vill ha säkerheten med en komplett lösning som hanterar underentreprenörer över hela världen och ger dem infrastruktur, säkerhet och automatisk rapportering inom en kontrollerad miljö.

GDPR träder i kraft om mindre än ett år, så det är dags att börja planera inför de stora förändringar som lagen kommer att innebära för tryckbranschen. Det är dags för tryckföretag och andra att utvärdera sina processer för datahantering, be om expertråd och utveckla ett systematiskt tillvägagångssätt.

Kontakta oss

Läs mer om hur vi kan hjälpa dig att få koll på GDPR-kraven.

Ta kontakt med oss ›

Ansvarsfriskrivning

Innehållet i denna artikel tillhandahålls endast i allmänt informationssyfte och är inte avsett att användas som ersättning för specifik juridisk rådgivning eller yttranden. Xerox tar inte ansvar för några handlingar, eller underlåtelse att handla, baserat på innehållet i denna artikel.

Xerox har ett tvärfunktionellt sekretessteam som har till uppgift att se till att företaget har operativ beredskap som global medborgare och tjänsteleverantör. Vi förväntar oss att kunna uppfylla alla våra förpliktelser enligt EU:s allmänna uppgiftsskyddsförordning.