GDPR – Kom igång med dataskyddsförordningen

Postad den av
GDPR - Kom igång med dataskyddsförordningen
GDPR – Kom igång med dataskyddsförordningen (Foto: Pixabay)

Se över din datahantering en sista gång nu, inför att dataskyddsförordningen GDPR börjar gälla.

 

Vad är dataskyddsförordningen och GDPR?

Dataskyddsförordningen är ett EU-direktiv som gäller som direkt lag i alla medlemsländer från den 25 maj 2018. På engelska kallas förordningen för General Data Protection Regulation (GDPR).

Syftet är att skydda människor som finns med i olika typer av register, som till exempel dig själv, så att personuppgifterna om dig är riktiga och används på ett korrekt sätt. Du ska också kunna få reda på vad det står om dig i ett register. Omvänt behöver du se till att uppfylla samma saker för personer som finns med i dina register.

GDPR gäller inte bara register över människor i företag utan även organisationer, till exempel bostadsrättsföreningar, ideella föreningar med flera. GDPR gäller dock inte register över bolag och andra juridiska personer, eftersom de inte är människor.

 

Var ska jag börja?

GDPR innehåller många regler, så det kan vara svårt att veta var man ska börja någonstans. Ett bra tips är dock att du går igenom GDPR-guiden, som Datainspektionen (DI) har tagit fram tillsammans med verksamt.se.

Guiden är lättanvänd och det går snabbt. Du svarar ja eller nej på 9 frågor och sedan får du förslag på vad du bör göra.

Guiden tar upp vanliga områden i ett företag där du behöver tänka på GDPR och hur du bör göra.

Några av de saker guiden inte tar upp är att du ska kunna lämna information om vad du har registrerat om en person på begäran, och i vissa fall ska du också kunna föra över ditt register till någon annan (dataportabilitet). Det här är dock frågor du behöver ta hjälp av dina programleverantörer om. Ytterligare en viktig sak är att du behöver ha en rutin för anmälan till Datainspektionen om du råkar ut för ett datorintrång, eventuellt också för information till de berörda i registren.

 

Tips inför GDPR

  1. Gör en lista över hur du hanterar personuppgifter
    • Guidens utvärdering visar vad listan behöver innehålla
  2. Kundregister
    • Uppgifter om kontaktpersoner hos företagen, eller om enskilda näringsidkare, är uppgifter om människor
      • …  men de får registreras för att hantera avtal med kunderna
    • Registering av fler uppgifter än vad som behövs för att uppfylla avtalet? Bara om kunden godkänner det
    • Informera kunderna om vilka uppgifter som sparas och hur de används
    • Uppgifter om bolag och andra juridiska personer är inte uppgifter om människor
      • … de omfattas inte av reglerna om GDPR
  3. Marknadsföring
    • Nyhetsbrev och liknande till kunderna är OK
    • Utskick till kunderna måste innehålla möjlighet att tacka nej till fler utskick
    • Mail till andra än kunderna kräver godkännande av mottagaren i förväg (samtycke)
  4. Mejl
    • Undvik känsliga uppgifter via mejl, till exempel lönebesked
    • För över eventuella personuppgifter till andra system och radera mejlen
  5. Bokningssystem
    • Registrera uppgifter som behövs för en bokning, men undvik fler uppgifter
  6. Leverantörsregister
    • Samma regler som för kundregister (se punkt 2 ovanför)
  7. Personalregister
    • Underlag för löner, försäkringar etc. behövs för att uppfylla företagets avtal med den anställde och är OK
    • Register för att rapportera löner behövs för att uppfylla företagets skyldigheter enligt lag och är OK
  8. Personuppgifter på webben
    • Kontaktuppgifter och foto kan vara OK att publicera på webben utan den anställdes medgivande
      • … om personen har kundorienterade uppgifter eller är chef
    • I övriga fall kan företaget behöva medgivande från den anställde
    • Företaget ska informera de anställda om publiceringen
  9. Tidsbegränsa registreringen
    • Skriv i listan över dina olika personregister (se punkt 1 ovanför) hur länge uppgifterna sparas
    • Radera personuppgifterna när de inte behövs längre
  10. Skydda personuppgifterna
    • Uppdaterade antivirusprogram, kryptering av trådlösa nätverk, uppdaterade programvaror i datorerna
    • Begränsa vilka som får komma åt personuppgifterna internt
    • Skicka inga känsliga personuppgifter via mejl
    • Säkerhetskopiera!

Testa ditt företag i guiden, det tar bara ett par minuter! Sedan får du konkreta tips om vad du behöver tänka på i guidens utvärdering.

 

Pålitlig information om GDPR

Det vimlar av information om GDPR på internet, förmodligen också i inkorgen för din mail. Det är dock säkrast och bäst att du i första hand hämtar din information från DI, som är den svenska myndighet som övervakar att GDPR följs. DI har skrivit information som är betydligt mer lättläst än själva regelverket. Du kan också vara säker på att informationen från DI är officiella tolkningar som du ska kunna lita på. Här hittar du information om GDPR på hemsidan hos DI.

DI kan besluta om kännbara avgifter för den som bryter mot reglerna. Samtidigt kan alla råka ut för problem även om man gör allt för att följa reglerna. Om du kan visa upp vad du har gjort för att följa personuppgiftsförordningen och informationen från DI så är det förmildrande omständigheter. Så tänk på att följa den officiella informationen från DI och att dokumentera hur du följer GDPR!

 

Kontakta oss om GDPR

Fråga DI om något är oklart och tala gärna med oss om du har funderingar. Du kan också se våra tidigare artiklar om GDPR.

Kommentarsfunktionen är avstängd.