GDPR-anpassning hos spelbolag
Som alla andra företag i EU behövde spelbolaget GDPR-anpassa sitt arbete med personuppgifter inför att GDPR skulle träda i kraft 2018.
Moderamen drev delprojektet att säkerställa compliance med GDPR avseende all behandling av kunddata, webbdata samt data kopplat till spelbolagets partners.
Resultaten bestod av framtagning av metodik, intern och extern dokumentation, utbildningar, ett automatiserat registerutdrag och en hållbar virtuell organisationsstruktur med GDPR-ambassadörer ute i organisationen.
LIte ont i magen för det här med GDPR? Läs mer nedan eller kontakta oss direkt.
Problemet
Som alla andra bolag i EU började spelbolaget 2017 fundera på hur de skulle säkerställa att de följde de nya reglerna i dataskyddsförordningen (GDPR). I många bolag pågick diskussionerna om det var IT, Juridik, Compliance eller verksamheten som hade ansvaret för att driva detta arbete? Men tack vare att spelbolaget hade en stark kundavdelning valde chefen för denna att ta helhetsansvaret för att starta projektet och bemanna upp styr- och projektgrupp.
Uppdraget bestod av att tillsammans med projektledningen ta fram en tydlig målbild och plan för arbetet samt genomföra planen. Målbilden skulle svara på frågan; ”När är vi (tillräckligt) compliant?”
Metoden
Moderamens konsult fick ansvaret för delprojektet att säkerställa compliance med GDPR avseende all behandling av kunddata, webbdata samt data kopplat till anställda hos spelbolagets partners.
Vi började med att utse ”GDPR-ambassadörer” på varje avdelning som behandlade ovanstående typer av personuppgifter. Dessa roller ingick först och främst i projektet men även från början var tanken att dessa ”tillika-roller” skulle bli permanenta som en förlängning av compliance-avdelningen.
Sedan skapade vi en metod för att kunna strukturera kartläggningen av alla behandling som utfördes i bolaget.
Tillsammans gick vi igenom varje avdelnings personuppgiftsbehandling för att se om det fanns laglig grund, hur länge uppgifterna sparades, om alla uppgifter verkligen behövdes, vilka som hade tillgång, etc. Sedan beskrev vi behandlingarna i det interna behandlingsregistret, i den publika GDPR-information och i registerutdraget.
Vi dök tillsammans in djungeln som digital spårning innebär. Undersökte vilka tredjeparter som var involverade varför och hur. Vad som samlades in till egna webbloggar och varför. Vad som var nödvändig spårning och vad som inte var det. Diskuterade hur LEK och GDPR egentligen förhöll sig till varandra (vilket då var helt nytt) och vad det innebar?
Resultatet
Resultaten bestod av metodik för kartläggning och beskrivning av behandlingar, intern och extern dokumentation, ett automatiserat registerutdrag, utbildningar och en hållbar virtuell organisationsstruktur som stöd till compliance-avdelningen och dataskyddsombudet.
Exempel på leverabler
”GDPR i ett nötskal”
Vi tog fram en ”one-pager” som vi ansåg svarade på frågan ”När är vi compliant?”
Ramverk för kartläggning
En strukturerad metod för att kunna kartlägga alla behandlingar utvecklades.
Är du intresserad av att få kontakt med oss för dialog om vi kan hjälpa dig och ditt företag med något? Lämna dina uppgifter nedan så hör vi av oss snarast!