Det här är en checklista inför dataskyddsförordningen GDPR. Använd listan nedan som en mall för ert arbete med att skydda data.
Vad innebär GDPR?
GDPR (General Data Protection Regulation), den nya dataskyddsförordningen, börjar gälla den 25 maj 201 8 inom hela EU. Den ersätter dessutom gamla PUL (personuppgiftslagen).
Vilka omfattas av GDPR?
GDPR är en omfattande förordning och påverkar i princip alla.
- Aktiebolag
- Handelsbolag
- Kommanditbolag
- Ekonomisk förening
- Enskild firma
- Föreningar
- Stiftelser
- Organisationer
- Myndigheter
- Privatpersoner (Undantaget är när du som privatperson hanterar dina egna uppgifter)
Här hittar du en sammanfattning av de viktigaste punkterna i den nya lagen. Använd checklistan nedan för att pricka av och kontrollera om ditt företag är GDPR-anpassat.
Vilka personuppgifter hanterar ni idag?
GDPR kräver att man dokumenterar vilka personuppgifter man hanterar och vem som har tillgång till dem. Om de även lämnas ut till en tredje part är det viktigt att dokumentera även det. Dessutom vad som händer om en eventuellt felaktig uppgift blir rättad hos er. Hanterar även tredjepart den rättningen?
Exempel på personuppgifter enligt GDPR
- Namn
- Adress
- Foton
- Ljud
- IP-adress
- Telefonnummer
- Personnummer
- Registreringsnummer
Åtgärder
- Undersök vilka personuppgifter ni hanterar.
- Databaser
- Webb
- Mejl
- Elektroniska dokument
- Filserver
- Intranet
- Osv.
Har ni lagligt stöd att lagra de personuppgifter ni hanterar?
Ni har endast rätt att lagra uppgifter som det finns tydliga skäl att lagra. Det måste alltså finnas en anledning till varje uppgift som ni lagrar om kunder.
Åtgärder
- Dokumentera ert lagliga stöd för att lagra personuppgifter
- Har kunden gett samtycke för att ni lagrar personuppgifter?
- Finns det ett avtal i grunden som kräver att ni lagrar personuppgifter?
- Finns det en rättsligt krav för att ni lagrar personuppgifter?
Behandlar ni känsliga personuppgifter?
Till särskilt känsliga personuppgifter räknas förstås personnummer. Men det kan även röra uppgifter om etniskt ursprung, brott, uppgifter från sjukvården eller andra känsliga uppgifter. Dessa personuppgifter har särskilt starkt skydd i GDPR.
Exempel på känsliga personuppgifter enligt GDPR
- Etniskt ursprung
- Politisk tillhörighet
- Religion
- Medlemskap i fackförening
- Hälsa och sjukdom
- Sexualitet
Åtgärder
- Dokumentera vilka personuppgifter ni lagrar.
- Vilka särskilt känsliga uppgifter hanterar ni?
Hur lagras personuppgifterna?
Hur uppgifterna hanteras är mycket viktigt. Lagrar ni dem på egna servrar, i ett serverhotell eller i en molntjänst? Finns uppgifterna lagrade i Sverige eller utomlands?
[quads id=2]
Åtgärder
- Dokumentera var känsliga personuppgifter är lagrade.
Hur hanterar ni en kund som vill bli glömd och raderat i ert systemet i enlighet med GDPR?
En kund har alltid rätt att bli glömd, alltså att få sin lagrade data raderad. Det kan göras på flera sätt. Finns det till exempel ett behov att spara statistik för kunder kan man välja att avidentifiera (anonymisera) kunden. På så sätt kan kunden engagemang aldrig spåras till personen men företaget har kvar datan. Det mest effektiva sättet är förstås att radera all kunddata om systemet stödjer det.
Åtgärder
- Analysera bästa sättet att radera eller anonymisera kundens data.
- Skapa en rutin för att radera kundens data
- Dokumentera rutinen och utbilda personalen
Har ni rutiner för att lämna ut en kunds uppgifter om kunden kräver det?
En kund har enligt GDPR rätt att få ut sina lagrade uppgifter i ett väl använt format. Både för informationssyfte men även för att kunden ska kunna flytta sina uppgifter till ett annat företag.
Åtgärder
- Skapa en rutin för att lämna ut kunds uppgifter
- Dokumentera rutinen och utbilda personalen
Behöver ni utse ett dataskyddsombud?
Vissa organisationer måste enligt GDPR rapportera in ett dataskyddsombud till Datainspektionen. Det rör sig om till exempel myndigheter, folkvalda församlingar, företag som i sin kärnverksamhet övervakar personer i stor skala eller behandlar känsliga uppgifter i stor skala.
Åtgärder
- Utse ett dataskyddsombud
- Rapportera in dataskyddsombudet till Datainspektionen
- Informera personalen om dataskyddsombudet
Dokumentera GDPR i Excel och PDF
Se till att all GDPR-information finns lätt tillgänglig och att den är väl spridd inom organisationen. Dokumentation som ni ska uppdatera ofta kan till exempel vara lagrad i Excel. Däremot kan fasta rutiner för hantering av data vara sparad i PDF-format.
Ladda ner fler gratis mallar här
Böter om du bryter mot GDPR
Om ditt företag bryter mot förordningen kan böterna bli upp till 4 procent av företagets globala årsomsättning eller 20 miljoner euro.