General Data Protection Regulation

Den 25.e maj år 2018 träder EU:s nya dataskyddsförordning i kraft vilket bland annat innebär att kraven på hantering av personuppgifter stärks. Det kommer behövas nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. GDPR kommer att gälla för alla organisationer och branscher på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder. Omställningen till den nya lagen innebär även flera fördelar och transparens gentemot kunder och anställda om det hanteras rätt.

EN BRA BÖRJAN

Bli medveten

En bra början är att undersöka hur din organisation kommer att påverkas av förordningen och framförallt hitta de områden som ni behöver arbeta särskilt med. Öka medvetandet i din organisation och försök ha alla med i båten på en gång, både beslutsfattare och personal.

Personuppgifter

Gör en inventering och sammanställ vilka personuppgifter ni behandlar idag. Det kan vara bra att införa en policy för dataskydd och rutiner vid hanteringen av personuppgifter. Granska vilka lagliga grunder organisationen stöder sig på vid hanteringen av olika personuppgiftsregister. Säkerställ att de registrerade får information om personuppgiftshanteringen och dess ändamål i samband med att informationen samlas in. 

Samtycke

Hur hanterar ni samtycke idag och hur hämtar ni in det? Ett samtycke måste vara en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. I syfte att säkra bevis är det viktigt att säkerställa att varje specifikt samtycke registreras och sparas. 

Verksamhet i flera länder

Det är i det land där din organisation har sin centrala funktion eller där beslut om personuppgiftsbehandling fattas som kommer ansvara för tillsynen av just er. Detta kan ibland vara lite komplicerat att avgöra.

Dataskyddsombud

Om ni inte redan har utsett ett ombud så försök hitta någon med goda kunskaper om dataskydd och ge personen möjlighet till utbildning och de rätta befogenheter för att kunna utföra sitt uppdrag på ett effektivt och självständigt sätt.

Personuppgiftsincident

Personuppgiftsincidenter behöver snabbt rapporteras. Därför bra att redan nu bestämma hur en incident ska hanteras och var anmälningsansvaret ligger. Det är viktigt med bra rutiner för att ni ska kunna upptäcka, rapportera och hantera personuppgiftsincidenter effektivt och säkert.

Säkerhet

Säkerställ att registren är tillräckligt skyddade. Det kan handla om såväl tekniska som organisatoriska hot både utifrån och från insidan av organisationen, framför allt obehörig åtkomst. Utgångspunkten är att bara de anställda som behöver informationen för ett berättigat syfte ska ha möjlighet att komma åt den.

Personuppgiftsbiträden

Se till att organisationens personuppgiftsbiträdesavtal uppfyller de uttryckliga kraven i den nya dataskyddsförordningen. Få avtalen påskrivna innan dataskyddsförordningen träder i kraft.

Bevarande och gallring

Utgångspunkten är att bolagen ska radera personuppgifterna när de inte längre behövs och många bolag behöver därför se över sina gallringsrutiner. För offentliga aktörer är det också viktigt att säkerställa att gallringsrutinerna är synkroniserade med dokumenthanteringsplanen.