Vad innebär GDPR?

Dataskyddsförordningen GDPR
GDPR (General Data Protection Regulation), den nya dataskyddsförordningen, börjar gälla den 25 maj 201 8 inom hela EU. Den ersätter dessutom gamla PUL (personuppgiftslagen).

Vilka omfattas av lagen?

  • Aktiebolag
  • Handelsbolag
  • Kommanditbolag
  • Ekonomisk förening
  • Enskild firma
  • Föreningar
  • Stiftelser
  • Organisationer
  • Myndigheter
  • Privatpersoner (Undantaget är när du som privatperson hanterar dina egna uppgifter)

 


Här hittar du en sammanfattning av de viktigaste punkterna i den nya lagen. Använd checklistan nedan för att pricka av och kontrollera om ditt företag är GDPR-anpassat.

Vilka personuppgifter hanterar ni idag?

GDPR kräver att man dokumenterar vilka personuppgifter man hanterar och vem som har tillgång till dem. Lämnas de ut till en tredje part är det viktigt att dokumentera även det. Dessutom vad som händer om en eventuellt felaktig uppgift blir rättad hos er. Hanterar även tredjepart den rättningen?

Exempel på personuppgifter

  • Namn
  • Adress
  • Foton
  • Ljud
  • IP-adress
  • Telefonnummer
  • Personnummer
  • Registreringsnummer

Åtgärder

  • Undersök vilka personuppgifter ni hanterar.
    • Databaser
    • Webb
    • Mejl
    • Elektroniska dokument
    • Filserver
    • Intranet
    • Osv.

Har ni lagligt stöd att lagra de personuppgifter ni hanterar?

Ni har endast rätt att lagra uppgifter som det finns tydliga skäl att lagra. Det måste alltså finnas en anledning till varje uppgift som ni lagrar om kunder.

Åtgärder

  • Dokumentera ert lagliga stöd för att lagra personuppgifter
    • Har kunden gett samtycke för att ni lagrar personuppgifter?
    • Finns det ett avtal i grunden som kräver att ni lagrar personuppgifter?
    • Finns det en rättsligt krav för att ni lagrar personuppgifter?

Behandlar ni känsliga personuppgifter?

Till särskilt känsliga personuppgifter räknas förstås personnummer. Men det kan även röra uppgifter om etniskt ursprung, brott, uppgifter från sjukvården eller andra känsliga uppgifter. Dessa personuppgifter har särskilt starkt skydd i GDPR.

Exempel på känsliga personuppgifter

  • Etniskt ursprung
  • Politisk tillhörighet
  • Religion
  • Medlemskap i fackförening
  • Hälsa och sjukdom
  • Sexualitet

Åtgärder

  • Dokumentera vilka personuppgifter ni lagrar.
  • Vilka särskilt känsliga uppgifter hanterar ni?

Hur lagras personuppgifterna?

Hur uppgifterna hanteras är mycket viktigt. Lagrar ni dem på egna servrar, i ett serverhotell eller i en molntjänst? Finns uppgifterna lagrade i Sverige eller utomlands?

Åtgärder

  • Dokumentera var känsliga personuppgifter är lagrade.

Hur hanterar ni en kund som vill bli glömd och raderat i ert systemet?

En kund har alltid rätt att bli glömd, alltså att få sin lagrade data raderad. Det kan göras på flera sätt. Finns det till exempel ett behov att spara statistik för kunder kan man välja att avidentifiera (anonymisera) kunden. På så sätt kan kunden engagemang aldrig spåras till personen men företaget har kvar datan. Det mest effektiva sättet är förstås att radera all kunddata om systemet stödjer det.

Åtgärder

  • Analysera bästa sättet att radera eller anonymisera kundens data.
  • Skapa en rutin för att radera kundens data
  • Dokumentera rutinen och utbilda personalen

Har ni rutiner för att lämna ut en kunds uppgifter om kunden kräver det?

En kund har även rätt att få ut sina lagrade uppgifter i ett väl använt format. Både för informationssyfte men även för att kunden ska kunna flytta sina uppgifter till ett annat företag.

Åtgärder

  • Skapa en rutin för att lämna ut kunds uppgifter
  • Dokumentera rutinen och utbilda personalen

Behöver ni utse ett dataskyddsombud?

Vissa organisationer måste rapportera in ett dataskyddsombud till Datainspektionen. Det rör sig om myndigheter, folkvalda församlingar, företag som i sin kärnverksamhet övervakar personer i stor skala eller behandlar känsliga uppgifter i stor skala.

Åtgärder

Dokumentera i Excel och PDF

Se till att all GDPR-information finns lätt tillgänglig och sprids inom organisationen. Dokumentation som lätt ska uppdateras kan till exempel lagras i Excel med fasta rutiner för hantering av data kan sparas i PDF-format.

 

Ladda ner fler gratis mallar här

Böter om du bryter mot förordningen

Om ditt företag bryter mot förordningen kan böterna bli upp till 4 procent av företagets globala årsomsättning eller 20 miljoner euro.