Skip to main content

GDPR - är du verkligen redo?

Nyhet   •   Maj 15, 2018 11:06 CEST

Nu brinner det i knutarna. 25 maj 2018 träder GDPR, den nya dataskyddsförordningen inom EU, i kraft. Undersökningar visar att hela 7 av 10 svenska företag och myndigheter inte hunnit anpassa sin verksamhet efter den nya lagen. Är ni ett av dessa företag? Då är det hög tid att vidta åtgärder nu. utbildning.se har tagit fram checklistan ni behöver kunna bocka av.

Först och främst - vad är egentligen GDPR? GDPR står för General Data Protection Regulation. Lagen gäller alla EU-länder och innebär kortfattat att kraven på företag och organisationer skärps när det gäller dataskyddsfrågor och hantering av personuppgifter.

I Sverige ersätter GDPR den gamla personuppgiftslagen (PUL), fortfarande med samma syfte; att skydda den enskildes integritet. Lagen gäller alla företag som har något slags personregister, såsom kundregister, information om leverantörer eller personal. Med andra ord omfattas de allra flesta företag av GDPR och kan i värsta fall tvingas betala svidande dyra straffavgifter och skadestånd om lagen överträds. 

För att undvika onödiga snedsteg och sanktioner behöver du ha koll på följande:

DOKUMENTERA!

Se till att få klarhet i vilka typer av personuppgifter (personnummer, namn, adress, foton med mera) som finns i ditt företag och hur ni lagrar och använder dessa uppgifter idag. Det kan till exempel vara kundregister, prospektlistor, medlemslistor, kontaktlistor, foton av- eller information om dina medarbetare. Dokumentera vad för uppgifter ni sparar och vad ni använder dem till. Dessa dokument måste finnas klara i det fall att ni blir inspekterade av Datainspektionen.

UTBILDA ER ORGANISATION

Se till att alla i er organisation känner till GDPR och hur lagen påverkar deras dagliga arbete. Ni kan minimera risken att informationen hanteras och används fel genom internutbildning och genom att skapa förståelse för GDPR.

SKAFFA SAMTYCKE

Har ni någon funktion på er hemsida där användaren ska fylla i sina uppgifter och som sedan sparas i er databas? Kanske ett beställningsformulär eller ett bokningssystem? Då bör du försäkra dig om att personen samtycker till att uppgifterna sparas efteråt. Information eller en liten checkruta med information om vad hen samtycker till kan vara en lämplig lösning. Samtycket ska sedan vara lika lätt för användaren att ångra och ta bort igen.

RENSA!

Rensa regelbundet i din databas och se till att inte lagra några uppgifter längre än vad som behövs. Samla inte heller in fler uppgifter än vad ni vet att ni kommer att använda. GDPR innefattar även rätten att bli bortglömd, så se till att ni vid önskemål kan ta bort all data från personerna i er databas.

UTSE ETT DATASKYDDSOMBUD

Företag med komplex behandling av personuppgifter kan komma att behöva ett dataskyddsombud. Ett dataskyddsombud är en person som ansvarar för att GDPR-reglerna efterföljs och som bevakar företagets dataskyddsfrågor. Det är obligatorisk att införa en sådan befattning för de företag som i stor omfattning hanterar personuppgifter, som hanterar känsliga personuppgifter eller som kartlägger beteenden eller intressen.

SE TILL ATT HA AVREGISTRERINGSMÖJLIGHET

Skickar du ibland ut nyhetsbrev eller annan information till personerna i dina register? Normalt är det okej att skicka nyhetsbrev och annan marknadsföring till sina kunder, men om ni tidigare bett om samtycke behöver ni göra detta igen innan ni fortsätter med era utskick. Se också till att det alltid finns möjlighet att säga nej till fler utskick genom en avregistreringsfunktion, såsom en länk eller en knapp.

SKYDDA UPPGIFTER

De personuppgifter som du hanterar i företaget måste skyddas så att inte obehöriga kommer åt dem. Det kan vara uppgifter om era kunder, leverantörer och anställda. Skyddet kan till exempel utgöras av tekniska åtgärder som antivirusprogram, brandvägg, trådlöst nätverk med kryptering och datorer med uppdaterade program. Lika viktigt är organisatoriska åtgärder som att du exempelvis begränsar vilka anställda som får ta del av olika typer av personuppgifter.

RAPPORTERA INTRÅNG OCH EGNA MISSTAG

Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta genast rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själv begått ett misstag. Även de vars uppgifter har läckt ut måste bli informerade inom 72 timmar.

Kommentarer (0)

Lägg till kommentar

Kommentera

Agree With Privacy Policy