Den 25:e maj 2018 trädde GDPR, den nya dataskyddsförordningen inom EU, i kraft. För myndigheter, organisationer och företag innebar detta en hel del förändringar. utbildning.se har tagit fram checklistan ni behöver kunna bocka av för att vara helt säkra.
Först och främst - vad är egentligen GDPR? GDPR står för General Data Protection Regulation. Lagen gäller alla EU-länder och innebär kortfattat att kraven på företag och organisationer skärps när det gäller dataskyddsfrågor och hantering av personuppgifter.
I Sverige ersätter GDPR den gamla personuppgiftslagen (PUL), fortfarande med samma syfte; att skydda den enskildes integritet. Lagen gäller alla företag som har något slags personregister, såsom kundregister, information om leverantörer eller personal. Med andra ord omfattas de allra flesta företag av GDPR och kan i värsta fall tvingas betala svidande dyra straffavgifter och skadestånd om lagen överträds. För att undvika onödiga snedsteg och sanktioner behöver du ha koll på följande:
Dokumentera!
Se till att få klarhet i vilka typer av personuppgifter (personnummer, namn, adress, foton med mera) som finns i ditt företag och hur ni lagrar och använder dessa uppgifter. Det kan till exempel vara kundregister, prospektlistor, medlemslistor, kontaktlistor, foton av- eller information om dina medarbetare. Dokumentera vad för uppgifter ni sparar och vad ni använder dem till. Dessa dokument måste finnas klara i det fall att ni blir inspekterade av Datainspektionen.
Utbilda
Se till att alla i er organisation känner till GDPR och hur lagen påverkar deras dagliga arbete. Ni kan minimera risken att informationen hanteras och används fel genom internutbildning och genom att skapa förståelse för GDPR.
Skaffa samtycke
Har ni någon funktion på er hemsida där användaren ska fylla i sina uppgifter och som sedan sparas i er databas? Kanske ett beställningsformulär eller ett bokningssystem? Då bör du försäkra dig om att personen samtycker till att uppgifterna sparas efteråt. Information eller en liten checkruta med information om vad hen samtycker till kan vara en lämplig lösning. Samtycket ska sedan vara lika lätt för användaren att ångra och ta bort igen.
Rensa!
Rensa regelbundet i din databas och se till att inte lagra några uppgifter längre än vad som behövs. Samla inte heller in fler uppgifter än vad ni vet att ni kommer att använda. GDPR innefattar även rätten att bli bortglömd, så se till att ni vid önskemål kan ta bort all data från personerna i er databas.
Utse ett dataskyddsombud
Företag med komplex behandling av personuppgifter kan komma att behöva ett dataskyddsombud. Ett dataskyddsombud är en person som ansvarar för att GDPR-reglerna efterföljs och som bevakar företagets dataskyddsfrågor. Det är obligatorisk att införa en sådan befattning för de företag som i stor omfattning hanterar personuppgifter, som hanterar känsliga personuppgifter eller som kartlägger beteenden eller intressen.
Se till att ha avregistreringsmöjlighet
Skickar du ibland ut nyhetsbrev eller annan information till personerna i dina register? Normalt är det okej att skicka nyhetsbrev och annan marknadsföring till sina kunder, men om ni tidigare bett om samtycke behöver ni göra detta igen innan ni fortsätter med era utskick. Se också till att det alltid finns möjlighet att säga nej till fler utskick genom en avregistreringsfunktion, såsom en länk eller en knapp.
Skydda uppgifter
De personuppgifter som du hanterar i företaget måste skyddas så att inte obehöriga kommer åt dem. Det kan vara uppgifter om era kunder, leverantörer och anställda. Skyddet kan till exempel utgöras av tekniska åtgärder som antivirusprogram, brandvägg, trådlöst nätverk med kryptering och datorer med uppdaterade program. Lika viktigt är organisatoriska åtgärder som att du exempelvis begränsar vilka anställda som får ta del av olika typer av personuppgifter.
Rapportera intrång och egna misstag
Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta genast rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själv begått ett misstag. Även de vars uppgifter har läckt ut måste bli informerade inom 72 timmar.