Nyheter

Hög tid att komma igång med GDPR

Hög tid att komma igång med arbetet inför Dataskyddsförordningen (GDPR)

EU:s nya dataskyddsförordning, GDPR, börjar gälla den 25 maj 2018. Något som förändrar sättet att hantera personuppgifter och ska stärka individens integritet. Är du och din organisation redo?

Alla som bedriver affärsverksamhet tvingas nu tänka till. Se inte de nya reglerna som en belastning utan som en tillgång. GDPR är ett sätt att kunna fortsätta utveckla ens företag och tjänster.

GDPR i korthet 

Förkortningen står för General Data Protection Regulation. Att det är en förordning betyder att den gäller direkt som lag och GDPR ersätter vår nuvarande Personuppgiftslag, PUL. Syftet med GDPR är att stärka individers rätt till sin persondata. Människor kan nu lättare värna om sin integritet.

Som personuppgifter räknas allt som kan användas till att identifiera en person så som foto, adress, IP-nummer och e-postadress. Lagen gäller bland annat vilka uppgifter som får registreras, vem som har tillgång till dem och hur länge de får sparas.

De företag som brister i sin behandling av personuppgifter kan tvingas att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av en koncerns omsättning. Med andra ord, det finns alla anledning att läsa vidare.

Vad handlar det om egentligen?

Artikel fem i förordningen beskriver de principer som är bärande i förordningen. I korthet handlar det om följande:

  1. Syfte – Till vad ska du använda personuppgifterna du hanterar? Du måste ha en laglig grund till varför du behandlar dem. Syftet måste vara tydligt och får inte ändras i efterhand.
  2. Relevans – Du får bara samla in personuppgifter som är relevanta för att uppnå det syfte och ändamål som de samlandes in för. Att samla in uppgifter som kan vara bra att ha i framtiden eller för säkerhets skull är inte förenligt med lagstiftningen.
  3. Radera – Lagra inte personinformation längre än nödvändigt. Så fort du inte längre har behov av personuppgifterna ska de raderas.
  4. Tillgång – Bara de medarbetare som behöver personuppgifterna för att kunna utföra sitt arbete ska ha tillgång till personuppgifterna.
  5. Skydd – Personuppgifterna ska inte gå att stjäla eller riskera att komma ut till obehöriga.
  6. Vetskap – Människor vars personuppgifter du hanterar ska veta hur och till vad deras uppgifter används. Informationen ska finnas lättillgänglig och vara lätt att förstå. När som helst ska människor kunna återkalla sitt medgivande. Alla har rätten att bli glömd.

Klarar man att implementera GDPR på egen hand? 

–Man bör skaffa sig en god överblick av vilka krav som följer av GDPR och vad det innebär för min egen verksamhet. Man kan ta hjälp av konsulter eller anmäla sig till en grundläggande kurs eller seminarium som belyser frågeställningarna. När man fått den överblicken blir det lättare att bestämma hur man går vidare.
– Det är en lång rad saker man behöver göra baserat på typ av verksamhet.

Steg för steg-guide 

  • Skaffa grundläggande kunskap
    Gå en kurs eller på några seminarier. Integritetsskyddsmyndigheten (Datainspektionens nya namn) erbjuder sådana utbildningar, likaså branschföreningar och andra fristående aktörer.
  • Titta på de processer som finns i företaget
    Det är viktigt att du förstår hur din verksamhet berörs. Identifiera när ni hanterar personuppgifter inom företaget. Det kan exempelvis röra löneutbetalningar, fakturahantering och marknadsföring. Lever ni upp till GDPR eller finns det saker som behöver åtgärdas? Har du inte börjat än så är det bråttom. Fråga dig vad som är viktigast att göra utifrån de nya reglerna.
  • Prioritera de hanteringar av personuppgifter där du ser risker för att personer kan komma i kläm och de behandlingar du genomför som riskerar att bryta mot någon av de grundläggande principerna i GDPR. Åtgärda dem! Det brådskar!
  • Informera om hur ni hanterar personuppgifter
    Var transparent och tydlig med vilken personinformation företaget behandlar och varför. De behandlingar som avser anställda kan man informera om på intranät eller liknade och behandlingar som avser personinformation rörande personer utanför företaget kan man med fördel informera om på hemsidan.
  • Uppdatera avtal 
    Passa på att uppdatera integritetspolicys och eventuella samtyckesavtal om ni har sådana i er verksamhet men se även över eventuella leverantörsavtal där ni låter externa parter behandla information å era vägnar.
  • Säkerställ att ni har rutiner för incidenter
    Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, har du en skyldighet att anmäla den till Integritetsskyddsmyndigheten inom 72 timmar. Det är viktigt att säkerställa och testa att ni har rutiner som klara det.
Share on facebook
Share on twitter
Share on linkedin
Senaste kommentarerna

    Läs fler inlägg