Se till att du är uppdaterad på GDPR

 

Dataskyddsförordningen är en förordning stiftad av EU i syfte att skydda personuppgifter. I och med informationssamhällets framfart så var förordningen både nödvändig och väntad. Ett mer internationellt begrepp för dataskyddsförordningens text är GDPR, vilket står för General Data Protection Regulation. GDPR har varit bra för EU:s medborgare, men har även ställt nya krav på företag som hanterar personuppgifter. Har du koll på vad som verkligen gäller och om du följer lagen eller ej? Många tycker att GDPR är krångligt och känner sig osäkra på vad man får göra och vad man inte får göra. Många gånger är gränslinjerna vaga och detta skapar ännu mer osäkerhet. Vi har tagit fram en komplett checklista för dig som vill försäkra dig om leva upp till bestämmelserna i GDPR:s text.

Se till att du är uppdaterad på GDPR: Se över rutiner

Du bör ser över vilka befintliga rutiner som finns i verksamheten när det gäller hanteringen av personuppgifter, både för egen personal och för personuppgifter på individer utanför organisationen. Jobbar man med försäljning så har man garanterat en hel del uppgifter som man aktivt samlar in och lagrar och som gäller enskilda individer. Se till att skapa dig en övergripande bild över hur man i verksamheten jobbar idag. Sedan kommer förmodligen dessa rutiner att behöva ses över, men till att börja med kan du nöja dig med att skapa dig en helhetsbild.

Se till att du är uppdaterad på GDPR: Håll koll på vilka personuppgifter som hanteras

Som personuppgiftsansvarig är det mycket viktigt att du har koll på vilken typ av personuppgifter ni hanterar. Det är avgörande för att du ska kunna veta att ni hanterar dessa på rätt sätt. Det gör det också enklare att reagera på om något sker utanför ert ramverk. Då behöver man sätta sig in i vad som gäller för just dessa personuppgifter och eventuellt addera detta till de befintliga rutinerna. Det är också viktigt att ha koll på hur dessa personuppgifter samlas in. Är det exempelvis en kund som själv registrerar sig hos er för att kunna handla? Då kan ni förmodligen använda redan befintligt GDPR-klausul i era allmänna villkor. Men om det är en säljare som helt plötsligt ska börja föra register genom att ringa upp potentiella kunder per telefon, ja då ser det så klart annorlunda ut.

Se till att du är uppdaterad på GDPR:  Vad är ändamålet med att samla in personuppgifter?

En viktig del av GDPR är att man enbart ska behandla data som är nödvändig för verksamhetens ändamål. Man kan alltså inte, bara för att man ändå är igång och samlar in uppgifter, be kunder uppge om dom föredrar svarta eller vita katter, om det är bilmotorer man säljer. Självklart går det att göra undantag från detta men då ska man ha personen samtycke till att behandla och bevara sådan information. När det gäller behandling av personuppgifter för barn som är under 13 år så finns det även speciella regler. Till exempel så måste en föräldraansvarig ge sitt samtycke till att personuppgifter ska få lagras som kan användas för att rikta olika erbjudanden till barnet. Här får man alltså tänka en gång extra om man ska arbeta med riktad marknadsföring och försäljning, där målgruppen är barn.

Se till att du är uppdaterad på GDPR: Du måste informera den vars uppgifter du registrerar

Det räcker inte bara att följa sina interna rutiner när man lagrar personuppgifter och man vill följa GDPR. Nej, man har även ett ansvar att informera den vars information men lagrar. TIll exempel så måste du informera den registrerade hur länge personuppgifter behålls innan de raderas. Även om du vill göra förändringar i detta. Då krävs det samtycke från den registrerade. Det är viktigt att du kommunicerar den här typen av information till den registrerade på ett tydligt och lättbegripligt sätt. Det får inte bli byråkratiskt och tillkrånglat i syfter att vilseleda den registrerade.

Ha koll på GDPR: Utse en ansvarig

Finns det någon personuppgiftsansvarig i verksamheten? Om inte så kan man säga att verksamheten som juridisk person är ansvarig. Vid en eventuell incident beträffande personuppgifter där en skada på uppstår så kan alltså företaget eller verksamheten behöva betala skadestånd. Därför kan det i större verksamheter vara en god ide att utse en personuppgiftsansvarig, som är personligen ansvarig för att rutiner följs. Man kan även ha ett personuppgiftsbiträde som bistår den personuppgiftsansvarige i det dagliga arbetet och som hjälper till att se till att rutinerna efterföljs.

Ha koll på GDPR: Ha koll på vilka rättigheter den registrerade har

Som vi varit inne på tidigare så är ju själva syftet med GDPR att skydda de som registreras, inte att göra livet svårare för företagarna. Därför kan det vara bra att sätta sig in i exakt vilka rättigheter den registrerade har. En registrerad individ har rätt att hämta ut registerutdrag för att se vilka uppgifter som finns lagrade. Personen kan även göra rättelser och korrigeringar och även få all sin data raderad. Med all data menas då verkligen all data. Man ska helt enkelt ha möjligheten att bli bortglömd. Den registrerade personen kan begära att antalet uppgifter som behandlas begränsas.

Kontakta oss idag för konsultation

GDPR Dataskyddsdirektivet innebär förbättrade rutiner för datasäkerhet för anställda och företag.

Ha koll på GDPR: Ha rutiner även för incidenter

En personuppgiftsincident innebär att personuppgifter raderas, ändras eller förs vidare – oavsiktligen. En sådan incident måste rapporteras till datainspektionen inom 72 timmar från det att man blivit medveten om att incidenten har skett. Det kan bli aktuellt att informera de som drabbats av incidenten om exakt vad som skett. Därför är det bra om man i förväg har färdiga rutiner för detta. Exempelvis mallar för informationsbrevet och en övergripande rutin för hur anmälan till datainspektionen ska gå till, etc.

Ha koll på GDPR: Du kan samråda med datainspektionen

När du ska fatta beslut om en viss typ av behandling av personuppgifter bör genomföras eller ej så ska du göra en så kallad konsekvensbedömning. Alltså, vad blir konsekvenserna om uppgifterna exempelvis läcker ut eller hamnar i fel händer? Är det så pass nödvändigt att lagra dessa uppgifter att risken och dess konsekvenser kan förbises? När du känner dig osäker så kan du faktiskt konsultera Datainspektionen. Det här är en service som dom tillhandahåller och kan vara mycket användbar för dig som personuppgiftsansvarig. Dessutom blir det en trygghet att veta att det beslut man fattat ligger i linje med vad Datainspektionen förordar.

Ha koll på GDPR: Du kan behöva ett dataskyddsombud

Om man befinner sig i en verksamhet vars huvudsakliga syfte kräver att personuppgifter behandlas så behöver man vidta extra åtgärder. Då bör man utöver en personuppgiftsansvarig, även ha ett dataskyddsombud. Framförallt är detta viktigt om verksamheten kräver en systematisk övervakning av de registrerade.

Ha koll på GDPR: Dokumentation är A och O

Se till att dokumentera ert arbete med GDPR. Vid omsättning av personal blir det enklare att uppnå kontinuitet i arbetet med rutinerna för hantering av personuppgifter. Det blir helt enkelt lättare för någon som kommer ny in i er organisation, att sätta sig in i hur arbetet bedrivs. Dokumentera de förändringar ni gör och även om ni har några incidenter. Dokumentation är A och O för ett framgångsrikt arbete med behandling av personuppgifter.

Ha koll på GDPR: Kom ihåg att lagen gäller för alla verksamheter

Oavsett om du arbetar i ett privat företag eller i en offentlig verksamhet elle myndighet, så gäller GDPR. Förordningen ska följas oavsett om du som behandlar personuppgifter för EU-medborgare befinner din inom eller utanför EU:s gränser. Det betyder alltså att du inte kan sitta på ett företag i en annan världsdel och samla in personuppgifter på EU-medborgare utan att följa dataskyddsförordningens regler. Det här gäller även för registrering av beteendemönstren, dvs information om hur individer rör sig på nätet, osv, i syfte att kunna rikta marknadsföring och försäljning mot dessa individer.

Ha koll på GDPR: Konsekvenser om man bryter mot förordningen

Datainspektionen kan utdöma sanktioner i form av avgifter direkt mot personuppgiftsansvariga och direkt mot verksamheter och juridiska personer. Allting finns reglerat i dataskyddsförordningens text. Kortfattat så kan man säga att de befogenheter som datainspektionen har att utdöma vite för företag som inte följer GDPR medger belopp på upp till 20 miljoner Euro. Det kan dock bli ännu mer om vi pratar om riktigt stora bolag. Då kan nämligen beloppet uppgå till 4% av den totala omsättningen för bolaget. Det kan alltså bli hisnande summor. Den vanligaste orsaken till att en sanktionsavgift utdöms är att överträdelser sker, exempelvis att samtycke inte finns för lagring av personuppgifter, eller att man helt enkelt hanterar personuppgifter utan att ha lagligt stöd.

Ha koll på GDPR: Fokusera på IT-säkerhet

I och med att konsekvenserna för ett incident där personuppgifter läcker ut, etc, blivit större med GDPR, så är en naturlig rekommendation att man som verksamhet ser över sin IT-säkerhet. Dataskyddsförordningen innefattar även regler för just IT-systems säkerhet.  Se till att ha en standard från start som efterlever reglerna i GDPR, så slipper du problem med detta i framtiden.

Vår IT-jurist Fredrik Jörgensen har lång erfarenhet och djupgående kunskaper inom IT-rätt. Vi kan dataskyddsförordningen innan och utan och kan hjälpa ditt företag att navigera den krångliga dataskyddsskärgården fri från sanktioner från Datainspektionen så du kan sova lugnt och inte behöver oroa dig för bolagets hemliga information eller personalens datasäkerhet.  Fredrik Jörgensen har erfarenhet av att arbeta med datasäkerhet och kan hjälpa er att höja säkerhetsnivån i företaget.  Data kan vara lätta att stjäla, och i de flesta fall upptäcks inte ens stölden. Du kan kontakta oss, så tar våra IT-jurist hand om ditt ärende så att ni inte bryter mot dataskyddsförordningen och ökar medvetenheten om datasäkerhet på ert kontor.

GDPR gäller i EU. Men datasäkerhet behöver iakttas i hela världen.