Dataskyddsförordningen och Dataskyddslagen
Oron var stor och frågorna var många när den nya lagen skulle träda i kraft i maj 2018. Vi var många som undrade om vi uppfattat allt rätt och funderade på hur vi nu skulle hantera vårt kundregister. Minns ni?
Många företag genomförde stora processförändringar inför den nya lagen och länge pratades det inte om annat än GDPR och om oron att man från företagets sida inte hade gjort tillräckligt. Men hur ser det ut idag?
Många har blivit mer medvetna om sina rättigheter när det gäller hantering av personuppgifter sedan GDPR infördes, enligt en ny rapport från Datainspektionen. Arbetar ni nu inom den nya lagens ramar eller känner ni att ni att ni saknar kunskap om vad som gäller?
Vad är GDPR?
”Dataskyddsförordningen (GDPR) är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen gäller i hela EU. Den har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter.” Du kan läsa mer om GDPR hos Integritetsskyddsmyndigheten (fd Datainspektionen).
Fyra tips från affärsjuristen
Vår affärsjurist bjuder här på fyra värdefulla tips som ger dig en grundläggande översikt och ger dig ett bra underlag för att säkerställa en korrekt hantering av företagets personuppgifter i dokumentation, styrdokument, processer och avtal!
1. Ett affärssystem/CRM underlättar
Se till att bedriva företagets verksamhet så samlat som möjligt och använd er inte av flera olika system.
Många verksamheter använder ett system för personalhantering, ett annat för tidrapportering, ett tredje för kundhantering, ett fjärde för offert- och ärendehantering, (vilket dessutom ofta är mejlen) och ett femte för projekthantering.
Om det är möjligt, använd er av ett affärssystem som hanterar hela verksamhetens ärenden. På så sätt har ni koll på var all data finns och hamnar och det blir lättare att söka efter personuppgifter. I ett bra och säkert system kan man även göra inställningar för gallring av uppgifterna.
2. Personuppgifter
Hämta inte in personuppgifter om ni inte behöver dem.
I webbformulär på företagshemsidor händer det att företaget markerar samtliga uppgifter som obligatoriska eller kräver vissa uppgifter som de egentligen inte behöver vid en första kontakt med besökaren/kunden. Ett tips är att inte uppmana kunder eller besökare att lämna uppgifter om sig själva som faktiskt inte behövs.
3. Leverantörer och GDPR
En personuppgiftsansvarig som delar personuppgiftsdata med exempelvis en underleverantör måste ingå ett personuppgiftsbiträdesavtal (biträdesavtal) med instruktioner och villkor som binder underleverantören, det s.k. personuppgiftsbiträdet, till att följa kraven som GDPR ställer på den personuppgiftsansvarige.
Ett tips till underleverantören är att själv skapa biträdesavtalet som ingås med den personuppgiftsansvarige, detta för att undvika risken att få olika instruktioner och villkor från olika personuppgiftsansvariga. Just detta är ett tips vi ger våra kunder – att skriva sina egna biträdesavtal utifrån hur de jobbar och hanterar data i sina system och verksamheter. Det blir då upp till den personuppgiftsansvarige att granska och godkänna biträdets personuppgiftshantering.
4. Personuppgiftsbehandling
Intervjua olika funktioner i personalen för att inventera verksamhetens personuppgiftsbehandling!
Välj ut 1-2 nyckelpersoner från varje avdelning och fråga dem om deras arbetssätt och uppgiftshantering. Anteckna allt som sägs, vilka system som används osv. och upprätta dokumentation om personuppgiftsbehandlingen på företaget.
GDPR & Systemstöd
Med hjälp av ett IT-system blir det enklare för organisationer att uppfylla reglerna i förordningen. Fördelen med ett system är att ni kan minimera antalet personuppgifter och låta systemet styra användaren rätt.
Ni kan enkelt se över behörigheter, roller och de processer som behandlar personuppgifter och få svar på följande frågor:
- Vilka personuppgifter behandlar vi?
- Var i systemet behandlar vi personuppgifter?
- Varför behöver vi behandla dessa uppgifter?
- Vilka personer har behörighet för att komma åt dessa uppgifter?
- Hur länge sparar vi dessa uppgifter?
Cassandra Karlsson
Dataskyddsjurist
Affärsjuridisk masterexamen
Linköpings Universitet
Fyra års erfarenhet
GDPR
Behöver ni hjälp?
Cassandra är vår jurist som jobbar med GDPR-relaterade frågor hos oss och hos många av våra kunder.
Skriv till Cassandra för att berätta vad ni önskar hjälp med.