Checklista GDPR – 8 steg för att klara anpassningen mot den nya EU-lagen

Den 25:e maj 2018 ersätts personuppgiftslagen, PUL, med EU:s nya lagstiftning General Data Protection Regulation som i Sverige kallas dataskyddsförordningen.

Här tipsar vi om 8 steg för att klara er GDPR-anpassning.

1. Utbilda och informera 

Se till att så många som möjligt på företaget vet vad den nya förordningen innebär. En av de största riskerna kopplade till GDPR är att personer skulle råka sprida personuppgifter.  

Det är alltså oerhört viktigt att alla personer i organisationen förstår vad lagen innebär, vad som är viktigt att tänka på och vilka konsekvenser det kan få om personuppgifter sprids.

| Ladda gärna ner vår lathund om GDPR så får du mer information om den nya lagen |

2. Inventera personuppgifter 

Lista de system som ni använder, både digitala och analoga. Se sedan över vilka personuppgifter ni hanterar i dessa system och dokumentera dem på ett tydligt sätt.  Kartlägg också era rutiner och processer för att säkerställa att alla personuppgifter som ni hanterar faktiskt är dokumenterade.  

Det är också viktigt att se över om några personuppgifter lämnas ut till en annan part, till exempel underleverantörer.

3. Säkra laglig grund och syften för behandling av personuppgifter 

Ställ frågor mot de uppgifter, system och processer som inventerats. Vilket syfte har ni för att lagra personuppgifterna? Vad ska de användas till? 

Rensa bort de uppgifter som inte har ett tydligt syfte och undersök noga om ni har laglig grund till att spara de som är kvar. Undersök om det finns ett dokumenterat samtycke från personerna vars information ni lagrar, och om det inte finns så införskaffa det omgående.   

4. Se över kommunikationen kring lagring 

När man samlar in personuppgifter krävs det redan idag information om vilka som kommer att lagra personuppgifterna och ändamålet med behandlingen. GDPR ställer högre krav än så. Se över hur ni på ett kortfattat och lättbegripligt sätt förmedlar till användaren hur länge det är tänkt att spara uppgifterna, syftet och den lagliga grunden samt hur man går tillväga för att lämna in klagomål om man anser att ens uppgifter hanteras fel.

5. Skapa rutiner för att tillmötesgå de registrerades rättigheter 

När den nya lagen träder i kraft kommer personuppgiftsägarna få stärkta rättigheter kring sina personuppgifter. Säkerställ att personer  

    • kan få tillgång till sina personuppgifter, kunna rätta felaktiga uppgifter och få sina uppgifter raderade och glömda ur era system 

 

    • kan invända mot att personuppgifterna används för direktmarknadsföring, automatiserat beslutsfattande och profilering 

 

  • att personer kan begära att deras personuppgifter på ett säkert och lätt sätt kan flyttas från era system, till exempel till en annan social medietjänst 

6. Säkra era rutiner för personuppgiftsincidenter 

Se över hur era rutiner ser ut för att upptäcka, rapportera och utreda personuppgiftsincidenter, till exempel om ni blir utsatta för dataintrång. Alla händelser ska dokumenteras och det ska finnas rutiner för att rapportera incidenter till tillsynsmyndigheten inom 72 timmar. 

Om incidenten kan leda till att personer utsätts för allvarliga risker såsom id-stölder, bedrägerier, diskriminering eller finansiella stölder så ska ni även informera de registrerade om incidenten så att de kan vidta nödvändiga åtgärder. För att detta ska fungera så krävs det att tydliga rutiner och åtgärdsplaner finns fastställda.   

7. Skydda personuppgifter i era IT-system 

Vidta de tekniska och organisatoriska åtgärder som krävs. Beroende på uppgifternas art, omfattning och syfte krävs olika åtgärder. Det kan till exempel röra sig om pseudonymisering så uppgifterna inte går att koppla till en enskild person.  

8. Utse ansvariga 

För organisationer vars verksamhet involverar riskfylld behandling av uppgifter kräver förordningen att ett dataskyddsombud utses.   

För att effektivt kunna utreda och dokumentera omfattningen av en eventuell incident är det ändå bra att utse ett dataskyddsombud som håller sig uppdaterad på förändringar av förordningen över tid och som är övergripande ansvarig vid en eventuell incident. 

 

Om du vill veta mer om den nya lagen rekomenderar vi dig att ladda ner vår lathund här.

Passa även på att läsa min bloggpost om ”10 möjligheter och tips i din GDPR-konvertering” här.

Dela inlägget

Dela på facebook
Dela på twitter
Dela på linkedin
Dela på print
Dela på email

Lämna en kommentar

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.