Mejlkorgen svämmar över med mejl om uppdaterade användaravtal och integritetspolicys från olika företag. En del av företagen anser att jobbet är klart eftersom den 25 maj redan har passerat, men det är nu arbetet med GDPR tar fart på riktigt!
Innan ikraftträdandet den 25 maj 2018 var fokus på de teoretiska bitarna av GDPR och hur företagen skulle hantera omställningen från personuppgiftslagen till GDPR. Nu är det dags för verkligheten och långsiktiga lösningar. Vad gör ni om en person ringer in och ber om att bli bortglömd? Vilka personuppgifter ska sparas och vilka ska slängas och när? Hur agerar ni och säkerställer att informationen inte kommer i orätta händer om en registrerad ber om att få ut vilka personuppgifter ni har om denne?
I de inledande skälen till GDPR stadgas det att skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet och att avsikten med förordningen är att skapa ett område med frihet, säkerhet och rättvisa. Att arbeta kontinuerligt och förebyggande kommer bli en grundsten för ert GDPR-arbete och i och med att det kommer komma praxis och kompletterande lagar i området är det viktigt att vara uppmärksam och följa de föreskrifter som redan finns. Har ni ett konto hos GDPR Hero lägger vi löpande upp nyheter och bevakar vad som händer på området.
Tänk på detta:
Lagstöd och syfte
Se till att ha lagstöd och syfte för er personuppgiftsbehandling. Utefter detta är det sedan enklare att motivera hur länge en personuppgift ska sparas. Efter att syftet är uppfyllt och det inte längre finns något lagstöd för behandlingen kan det vara så att en personuppgift ska raderas. Här är det dock viktigt att vara vaksam – kan det vara så att ni har ett sekundärt lagstöd? Exempelvis personuppgifter rörande fakturor kan inte raderas efter att fakturan är betald. Där träder istället bokföringslagen in och det finns återigen ett syfte med och ett lagstöd för behandlingen. GDPR Hero är ett verktyg som är uppbyggt efter förordningen. Det gör det enkelt för er att uppfylla förordningens krav som ställs på er, bland annat att redovisa ert lagstöd, syfte och tidsintervall.
Incident
Upprätta rutiner för en eventuell incident. Vad gör ni om en arbetstelefon förloras? Vad gör ni om en anställd sprider uppgifter om andra anställda? Om ni har konto hos GDPR Hero hittar ni flera checklistor under fliken ”dokumentdatabas”. Där hittar ni bland annat en checklista för den personuppgiftsansvariga vid en personuppgiftsincident och tips och råd för hur ni ska komma igång med ert långsiktiga GDPR arbete.
Enskildas rättigheter
Sätt upp rutiner för de olika rättigheter för enskilda som finns i förordningen, exempelvis rätten att bli bortglömd, rätt till radering och rätt till tillgång. Se även till att alla anställda som kan tänkas ställas inför frågan har koll på enskildas rättigheter för att enskilda inte ska avfärdas. Vid rätten till tillgång kan det vara en fördel att på förhand ha rutiner för att kunna upprätta rapporter på ett snabbt och enkelt sätt. GDPR Hero har en rapportfunktion som skapar rapporter enkelt och effektivt och hjälper er att på ett smidigt sätt möta förordningens krav.
Informationsskyldighet
Se till att ni uppfyller informationsskyldigheten. En av rättigheterna för de enskilda är enligt GDPR att få information bland annat om:
- Ändamålet med behandlingen.
- Lagringstid.
- Om uppgifterna förs över till tredje land eller till biträde.
- Vem som är personuppgiftsansvarig.
Informationen ska lämnas till den enskilde när uppgifterna samlas in, när den registrerade annars begär det samt om det exempelvis inträffar ett dataintrång och det finns risk för bedrägeri.
Registerföring
Det är ett krav för den överväldigande majoriteten av företag att föra ett register över personuppgiftsbehandling. Kravet har ett undantag, men undantaget omfattar inte så många företag. För att ett företag ska vara undantaget ska företaget ha mindre än 250 anställda, endast behandla uppgifterna tillfälligt, inte behandla känsliga uppgifter och behandla uppgifterna utan risk för registrerades rättigheter eller friheter. Även om ett företag skulle falla inom undantaget från kravet på register, kan det vara bra att ändå ha ett register för att kunna visa att företaget följer GDPR. Vi rekommenderar därför att alltid föra ett register över er personuppgiftsbehandling. Med GDPR Hero uppfyller ni detta krav!
Vill du läsa mer, se ”Varför är det så viktigt med ett register över personuppgiftsbehandlingar?”
Policys
Upprätta policys. Exempelvis kan det vara bra att ha en intern policy för personuppgiftshanteringen kring anställda och en extern policy för personuppgiftshanteringen för kunder och andra externa aktörer. Det är även viktigt att ha interna riktlinjer för personuppgiftshanteringen för att alla anställda ska vara på det klara med vad GDPR innebär för just dem.
Personuppgiftsbiträden
Om ni inte har gjort det tidigare, gör en lista över alla aktörer ni för över personuppgifter till samt alla aktörer som för över personuppgifter till er och se till att det finns ett biträdesavtal på plats med dessa aktörer. GDPR Hero hjälper er att tydligt redovisa för vilka biträden ni har och samlar all information på ett och samma ställe. Kontrollera även om någon av era biträden eller deras servrar där personuppgifterna lagras är belägna utanför EU. Det är även viktigt att dokumentera eventuella system ni använder er av, vilket ni enkelt gör i GDPR Hero.
Säkerhet
Skydda personuppgifterna! Det är viktigt att vidta tillräckliga tekniska och organisatoriska säkerhetsåtgärder. Vad som är tillräckligt beror på hur känslig informationen är.
Det är viktigt att kunna visa att ni gör rätt. Dokumentera därför det ni gör, exempelvis de överväganden ni gör och de intresseavvägningar ni eventuellt har gjort.
Arbetet med GDPR kan ibland kännas överväldigande och vi på GDPR Hero finns därför med er längs vägen genom ert GDPR-arbete. Skulle det dyka upp några frågor har ni möjlighet att ställa frågor till vår support på 046 – 273 17 17 eller till info@gdprhero.se!
