Kostnaderna för efterlevnad kan grovt delas in i tre kategorier: etablering av efterlevnad, operationell efterlevnad och riskhantering.
Fastställa efterlevnad
Hitta en person
Någon måste hantera DSF-uppgifterna. Det kan vara du eller någon annan. Du eller en intern anställd måste spendera ganska mycket tid på att förstå DSF-efterlevnad på en grundläggande nivå. Det liknar andra efterlevnads- och certifieringssystem. Du kan vara expert inom områdena, men du måste ändå spendera tid på att gå igenom de specifika dokument som måste upprättas.
Det är ofta billigare att anlita en extern konsult än att utveckla djupgående expertis internt. De flesta små och medelstora företag behöver några dagar av en DSF-specialist för att etablera efterlevnad och några timmar per år för att upprätthålla den. En intern, hemutbildad specialist skulle spendera mycket mer tid på att lära sig färdigheten och skulle kontinuerligt behöva tid för att upprätthålla den.
Upprättande av en inventering av behandlingsaktiviteter
Kostnaderna bestäms av mångfalden av de aktiviteter för behandling av personuppgifter som ditt företag utför. Du behöver upptäcka alla aktiviteter (delar av datorsystem eller manuella processer) som involverar personuppgifter och skapa en inventering. Denna inventering kallas 'Register över behandling av personuppgifter' och de flesta företag måste upprätthålla en.
Mängden och detaljnivån för dessa aktiviteter varierar. Här är några indikatorer:
- Enkel webbplats: 3-5 aktiviteter (drift av webbplatsen, säkerhetskopior och säkerhet, cookies, tredjeparts komponenter).
- Marknadsföring: 3-5 (kund- eller prospektdatabas, e-postlista, en eller två specifika kampanjer)
- Försäljning: 1-3 (behandla beställningar, beställningsleverans eller utförande, returer)
- Kundsupport: 1-2 (supportdatabas, mottagning av förfrågningar)
- HR och anställning: 1-5 (HR-filer, rekrytering, uppsägning, befordran, löneadministration). De kombineras ofta och (delvis) outsourcas.
- Affärsprocesser: varierar, 1 per varje automatiserat flöde som du driver
Ett litet företag som anställer några få skulle typiskt behöva registrera 10-20 behandlingsaktiviteter. Ett större företag skulle behöva lite mer. När du väljer ditt PrivacyDocs-abonnemang kan du börja med den billigaste 'småföretags'-planen, som är lämplig för de flesta små och medelstora företag. Du kommer förmodligen att hålla dig inom dess gränser under det första året av ditt GDPR-arbete och kan uppgradera till den större 'medelstora företags'-planen vid behov.
Kostnader för varje register över behandlingsaktiviteter
Varje behandlingsaktivitet behöver en registrering i Register över Behandlingsaktiviteter för Personuppgifter. Det kostar följande:
- 1 timme för att upptäcka en behandlingsaktivitet (tänk på att prata med ditt IT- eller marknadsföringsteam för att förstå vad som faktiskt pågår)
- 4 timmar för att göra den första skrivningen (tänk på en 1-timmes intervju med dig, någon som känner till behandlingen och någon som är ansvarig för behandlingen) och 1 timme för att ställa in och skriva ner det
- 1-4 timmar för uppföljningar (hitta saknade detaljer, relevanta kontrakt, meddelanden som visas för de registrerade, etc.)
Tänk på två aktiviteter per dag, eftersom vissa av dessa processer kan gå snabbare för små företag än för större företag.
Kostnader för bedömningar
När du bygger upp inventariet kan du inse att en aktivitet behöver en ytterligare bedömning: Dataskyddsbedömning (KBD) för riskfyllda operationer, Bedömning av berättigat intresse (BBI) för aktiviteter som bygger på ditt berättigade intresse som företag, och Överföringsbedömning (TIA) om du använder system som drivs av leverantörer utanför EU (och i några länder som erbjuder adekvat skydd)
Detta är omfattande dokument och kan ta 1 till 5 dagar att slutföra.
Operativ Efterlevnad
Operativ DSF-efterlevnad kräver mindre ansträngning, särskilt för företag som inte förändras mycket.
Uppdatera Register över Behandlingsaktiviteter
Enligt DSF (GDPR) måste registren uppdateras innan någon ändring i behandlingen och periodiskt. En årlig granskning är ofta tillräcklig för processer som inte förväntas förändras (såsom de flesta administrativa processer).
1-3 person-timmar är ofta tillräckliga per behandling. Du kan förvänta dig att faktiskt prata och få ytterligare detaljer vid den första granskningen, och bara skicka de årliga 'är det fortfarande detsamma?' e-postmeddelandena under de följande åren.
Registrera överträdelser
När människor gör misstag eller dina system blir hackade måste du registrera personuppgiftsincidenter i ett internt register (en del av PrivacyDocs-sviten). Varje registrering av en incident omfattar tre delar:
- Registrering (1 timme med en expert på integritet och 1 timme med en domänexpert)
- Riskbedömning (1 timme av en dataskyddsexpert och 1 timme av en domänexpert)
- Föreslagna åtgärder för att mildra (varierar)
- Rapportera till dataskyddsmyndigheten och berörda individer om överträdelsen innebär en högre risk som inte är begränsad (4-20 timmar).
De flesta överträdelser (som att skriva in en felaktig e-postmottagare) kräver mindre än 4 timmar för att dokumentera.
Svara på begärningar från registrerade
Begärningar från registrerade (såsom begärningar om information som lagras om en viss individ eller begärningar om att bli glömd) uppfylls ofta av dataskyddsspecialisten, medling av den juridiska avdelningen. Kostnaderna för svar varierar med ett minimum på 1 timme.
Hantera risker
Riskbedömningarna kan belysa de risker som måste mildras genom att ändra processer eller uppdatera dokumentationen. De associerade kostnader för riskhantering och riskminimering kan vara de största. Vissa företag förlitar sig på datorsystem eller affärsprocesser som inte är förenliga och kräver betydande förändringar för att bli förenliga.
I praktiken är riskhantering inte dyrt för de flesta företag som inte är beroende av behandling av personuppgifter som kärnan i sin verksamhet.
Få hjälp
Att anlita en professionell tjänst, såsom PrivacyDocs GDPR-konsulttjänst, är ofta det mest kostnadseffektiva sättet att uppnå och upprätthålla GDPR-efterlevnad. Det är viktigt att fokusera och styra dina konsulter på de aspekterna av GDPR-efterlevnad som du verkligen måste ha. Det finns många aspekter som är trevliga att ha, men som utgör acceptabla risker för icke-efterlevnad om de saknas.