I dagsläget har en individ väldigt lite kontroll över den persondata som samlas in och hur den används och vem som hanterar den. Detta vill EU ändra på med den nya dataskyddsförordningen General Data Protection Regulation (GDPR) som träder i kraft nästa år. De nya reglerna innefattar en större kontroll för individen över den data som har samlats av företag. Förordningen tvingar företag att strukturera om sina system så de är förenliga med GDPR. Då höga bötesbelopp kan drabba de företag som inte följer reglerna blir alla de som hanterar personuppgifter tvungna att se över sina processer över hanteringen. Uppsatsen har som syfte att undersöka hur väl förberedda svenska medelstora till stora företag är ett år innan införandet av GDPR och hur de arbetar med förändringarna ur ett tekniskt perspektiv, ett organisatoriskt perspektiv samt ur ett juridiskt perspektiv. Med ett teoretiskt fundament som grund genomfördes intervjuer på tre olika företag som hanterar personuppgifter i sina system, både som personuppgiftsansvariga och som personuppgiftsbiträden. Resultatet av studien användes för att designa en utvärderingsmodell som företag kan använda ett år efter införandet av GDPR. Utvärderingen kommer att skapa en överblick på hur väl övergången har gått och om det finns några områden som behöver ytterligare arbete. De slutsatser som drogs var att det fanns en del frågetecken gällande hur de tekniska lösningarna skulle se ut för att vara i linje med GDPR, de juridiska frågorna hanterades till stor del med hjälp av biträdesavtal mellan personuppgiftsansvariga, personuppgiftsbiträden och tredje part. Ur ett organisatoriskt perspektiv var det utbildning av personal och kunskap om GDPR och de ändringar i arbetssätt som detta medför.

At present an individual has very little control over the personal data collected, how it is used and who manages it. This is something the EU wants to change with the new General Data Protection Regulation (GDPR), which will come into force next year. The new regulation includes greater control for the individual regarding the data collected by companies. The Regulation forces companies to restructure their systems so that they are compliant with GDPR. Since high sanctions may affect those companies that do not comply with the rules, all those who handle personal data will have to review the processes that relate to the handling of personal data. The aim of this thesis is to investigate how well prepared Swedish medium to large sized companies are one year before the introduction of GDPR. The thesis focuses on how companies work with the changes from a technical perspective, an organizational perspective and from a legal perspective. With a theoretical foundation as a basis, interviews were conducted on three different companies that handle personal data, both as data controller and as data processor. The result of the study was used to design an evaluation model that companies can use one year after the introduction of GDPR. The evaluation will provide an overview of how well the transition has been and if there are any areas that need further work. There were some uncertainties regarding how the technical solutions would need to be designed and implemented to help the company being compliant with GDPR. The legal issues were largely handled through processing agreements between data controllers, data processors and third parties. The organizational perspective meant training of staff and questions regarding how to raise awareness about GDPR and the changes in working practices.