GDPR ersätter vår nuvarande Personuppgiftslag, är ditt företag redo?

GPDR står för General Data Protection Regulation. GDPR ersätter vår nuvarande Personuppgiftslag, PUL 25:e May 2018

Det här är GDPR i korthet

Förkortningen står för General Data Protection Regulation. GDPR ersätter vår nuvarande Personuppgiftslag, PUL. Syftet med GDPR är att stärka individers rätt till sin persondata, det är nu lättare att värna om sin integritet.

Som personuppgifter räknas allt som kan användas till att identifiera en person så som foto, adress, IP-nummer och e-postadress. Lagen gäller vilka uppgifter som får registreras, vem som har tillgång till dem och hur länge de får sparas.

Företag som brister i sin behandling av personuppgifter kan tvingas att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av sin omsättning. Det finns all anledning att inte stoppa huvudet i sanden.

Vad handlar GPDR om egentligen?

I korthet handlar det om följande:

Syfte – Vad ska du använda personuppgifterna du hanterar till? Du måste ha en laglig grund till varför du lagrar personuppgifterna. Syftet måste dessutom vara tydligt och får inte ändras i efterhand.

Relevans – Du får bara samla in personuppgifter som är relevanta för att uppnå syfte och ändamål som de samlandes in för. Att samla in uppgifter som kan vara bra att ha i framtiden eller för säkerhets skull är inte förenligt med GPDR.

Radera – Lagra inte personinformation längre än nödvändigt. Så fort du inte längre har behov av personuppgifterna ska de raderas.

Tillgång – Bara de medarbetare som behöver personuppgifterna för att kunna utföra sitt arbete ska ha tillgång till personuppgifterna.

Skydd – Personuppgifterna ska vara skyddade och inte gå att stjäla eller delas till obehöriga.

Vetskap – Människor vars personuppgifter du hanterar ska veta hur och till vad deras uppgifter används. Informationen ska finnas lättillgänglig och vara lätt att förstå. När som helst ska människor kunna återkalla sitt medgivande. Alla har rätten att bli glömd.

https://gdpr.se/nu-enkel-guide-till-foretag-pa-verksamt-se/

Enkel steg för steg-guide

Titta på de processer som finns i företaget
Det är viktigt att du förstår hur din verksamhet berörs. Identifiera när ni hanterar personuppgifter inom företaget. Det kan röra löneutbetalningar, fakturahantering och marknadsföring. Lever ni upp till GDPR eller finns det saker som behöver åtgärdas?

Prioritera hanteringar av personuppgifter där du ser risker för att personer kan komma i kläm och där företaget riskerar att bryta mot någon av de grundläggande principerna i GDPR.

Informera om hur ni hanterar personuppgifter
Var transparent och tydlig med vilken personinformation företaget behandlar och varför. De behandlingar som avser anställda kan man informera om på intranät eller liknade och behandlingar som avser personinformation rörande personer utanför företaget kan man med fördel informera om på hemsidan.

Uppdatera avtal
Passa på att uppdatera integritetspolicys och eventuella samtyckesavtal om ni har sådana i er verksamhet men se även över eventuella leverantörsavtal där ni låter externa parter behandla information å era vägnar.

Säkerställ att ni har rutiner för incidenter
Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, har du en skyldighet att anmäla den till Integritetsskyddsmyndigheten inom 72 timmar. Det är viktigt att säkerställa och testa att ni har rutiner som klara det.