Checklista: GDPR
Blir du nervös när du hör ord som personuppgiftsincident, dataskyddsarbete eller dataläcka? Då är du inte ensam. För många företagare kan GDPR kännas snårigt.
Men lagstiftningen är här för att stanna och någonting som alla företag behöver förhålla sig till.
Vi har pratat med juristen Erik Rosqvist. Genom att följa hans checklista i detta blogginlägg blir arbetet med GDPR lite lättare – och du som personuppgiftsansvarig får bättre koll på vad som förväntas av dig.
Experten: Erik Rosqvist
Erik Rosqvist är jurist och driver Recollecta Juridik. Han är särskilt inriktad på avtalsrätt, bolagsrätt och GDPR. Han har tagit fram, kvalitetssäkrat och uppdaterar kontinuerligt majoriteten av de över 2 000 företagsmallar och dokument som Crona DokuMera tillhandahåller.
Våra kunder som prenumererar på Företagspaketet från Crona DokuMera kan kontakta Erik Rosqvist direkt genom DokuMeras Frågeservice. Du kan annars nå honom på erik.rosqvist@recollecta.se.
Med Företagspaketet för du dessutom tillgång till samtliga våra mallar för policys, avtal och andra viktiga dokument som underlättar för företag.
Checklista för personuppgiftsansvariga
Erik Rosqvist har tagit fram följande checklista för dataskyddsförordningen (GDPR) som riktar sig till dig som är personuppgiftsansvarig på ett företag. Genom att följa den här checklistan får du en god överblick över GDPR och vilka krav som ställs på dig i rollen som personuppgiftsansvarig.
1. Har du rutiner för att hantera GDPR?
Se över ditt personuppgiftsarbete och dataskyddsförordningens närmare innebörd. Företaget behöver även ha rutiner för att upptäcka, rapportera, utreda och dokumentera så kallade personuppgiftsincidenter.
– Det är viktigt att beslutsfattare och/eller nyckelpersoner i företaget är medvetna om den rättsliga innebörden av GDPR. Det är också viktigt att det utses personer som kan arbeta med att kartlägga och identifiera verksamhetens olika personuppgiftsbehandlingar och som anpassar verksamheten efter kraven, säger Erik Rosqvist.
2. Se över vilka personuppgifter företaget hanterar
Hur dataskyddsarbete ska organiseras eller utföras är upp till den personuppgiftsansvariga på varje företag. Det finns alltså inga givna svar eller facit för hur det ska gå till. Börja med att se över vilka personuppgifter som hanteras idag och vilka rutiner som finns. Frågor som hur behandlingen går till, var uppgifterna lagras och varför de samlas in är bra att besvara. Även hur uppgifterna ska skyddas.
– Tänk på att dokumentera detta arbete då det kommer att underlätta övriga delar i företagets dataskyddsarbete. Flera personer bör vara delaktiga i arbetet – om möjligt personer från olika delar av organisationen och personer med insikt eller erfarenhet i dataskyddsfrågor.
3. Undersök om du har rättslig grund
Varje personuppgiftsbehandling som utförs måste ha en rättslig grund. Om du saknar rättslig grund för en behandling är den inte tillåten och du behöver upphöra med behandlingen alternativt säkerställa att rättslig grund kan komma i fråga.
För privata företag är samtycke, avtal och berättigat intresse de allra vanligaste grunderna. GDPR reglerar även villkor för samtycke, bland annat att den registrerade ska ha rätt att när som helst ta tillbaka sitt samtycke.
– För dig som personuppgiftsansvarig kan det vara klokt att ha åtminstone grundläggande kännedom om vad dessa rättsliga grunder innebär. Säkerställ därför att du har rättslig grund för alla behandlingar du utför.
4. Informera de registrerade
Som personuppgiftsansvarig har du ett informationsansvar i förhållande till dem som du behandlar personuppgifter om. Du behöver bland annat informera om hur länge personuppgifterna lagras alternativt de kriterier som används för att fastställa detta. Du behöver även informera om olika rättigheter som den registrerade har och möjligheten att lämna klagomål till Integritetsskyddsmyndigheten om han eller hon anser att personuppgifter har hanterats felaktigt.
GDPR stället krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Erik Rosqvist lyfter att en personuppgiftspolicy kan hjälpa företag att leva upp till informationskravet.
– Tänk då på att en personuppgiftspolicy ska innehålla all den information som dataskyddsförordningen kräver. Tänk även på att du behöver informera dina anställda om hur du behandlar deras personuppgifter, vilket innebär att du även kan behöva interna policydokument för detta ändamål.
5. Se över de registrerades rättigheter
Den vars personuppgifter registreras av ditt företag har en rad rättigheter, enligt GDPR. Säkerställ att det finns någon i organisationen som tar emot, hanterar och ansvarar för att den registrerades rättigheter säkerställs.
Den registrerade har följande rättigheter:
• rätt till registerutdrag (tillgång)
• rätt till rättelse
• rätt att få sina personuppgifter raderade, rätten att bli bortglömd
• rätt till begränsning av behandlingen av personuppgifterna (att inte använda alla uppgifter du har om en viss person)
• rätt till s.k. dataportabilitet (att överföra uppgifterna till en annan personuppgiftsansvarig) och
• rätt att göra invändningar
6. Se över IT-säkerhetsfrågor
Genom för lämpliga tekniska och organisatoriska åtgärder genom att bygga in dataskydd i IT-systemen. Det förhindrar onödiga kostnader, tid och bekymmer om du är medveten om regleringarna i GDPR när du förändrar befintliga IT-system eller tar fram nya IT-system.
Bra frågor att ställa sig när det gäller företagets IT-system är:
• Hur skyddar du de personuppgifter som behandlas?
• Hur bestämmer du skyddsnivå för olika typer av personuppgifter?
• Har företaget regelbundna säkerhetskontroller?
7. Var beredd vid personuppgiftsincidenter
I GDPR definieras personuppgiftsincidenter som säkerhetsincidenter som till exempel leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas av företaget. Även incidenter som leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna faller in i denna kategori.
Personuppgiftsincidenter ska enligt huvudregeln anmälas till Integritetsskyddsmyndigheten av den personuppgiftsansvariga inte senare än 72 timmar efter det att man fått vetskap om incidenten. Om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter behöver den inte anmälas till myndigheten.
Säkerställ att företaget har rutiner för att hantera personuppgiftsincidenter och att det är tydligt vem som ansvarar för att relevanta åtgärder vidtas.
– Under vissa omständigheter kan den personuppgiftsansvarige även vara skyldig att informera de registrerade som berörs av incidenten. Det anges även både vad sådan information ska innehålla och hur det ska informeras, säger Erik Rosqvist.
8. Dokumentera och utvärdera
Dokumentera ditt personuppgiftsarbete. Utvärdera resultaten och följ upp arbetet. På så sätt kan du säkerställa att GDPR efterlevs och att du undviker att drabbas av sanktioner. Tänk på att du ska kunna visa att du efterlever de krav som ställs enligt dataskyddsförordningen, vilket innebär att det är särskilt viktigt att dokumentera arbetet.
Detta gäller för register över personuppgiftsbehandling
Såväl personuppgiftsansvariga som personuppgiftsbiträden är skyldiga att föra ett register över sina behandlingar av personuppgifter. Det ska ske skriftligen och i ett elektroniskt format.
Specifikt lagkrav för bolag med fler än 250 anställda
För företag med minst 250 anställda finns ett specifikt lagkrav att samtliga behandlingar ska innefattas i registret. Men det betyder inte att bolag med färre än 250 anställda helt kan strunta i registret.
– Generellt brukar jag rekommendera att göra ett register över behandlingar alldeles oavsett antalet anställda. Det gör det enklare att hålla koll på vilka behandlingar som utförs i verksamheten och säkerställa att de är korrekta, säger Erik Rosqvist.
När omfattas bolag med färre än 250 anställda?
Skyldigheten att föra register gäller även för bolag med färre än 250 anställda om personuppgiftsbehandlingen:
• är annat än tillfällig
• sannolikt kommer att medföra en risk för de registrerades rättigheter och friheter, eller
• omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser
I praktiken innebär det att även företag med färre antal anställda i hög utsträckning kommer att omfattas av kravet; främst med anledning av undantagsregeln avseende ej tillfälliga behandlingar.
– För företag med färre än 250 anställda innebär det således att en del behandlingar kan behöva ingå i registret, medan andra inte behöver ingå. Ett praktiskt exempel är personuppgiftsbehandling som sker för utbetalning av löner – en sådan behandling är i regel inte tillfällig och ska därmed ingå i registret.
