General Data Protection Regulation

Den 25.e maj år 2018 träder EU:s nya dataskyddsförordning i kraft vilket bland annat innebär att kraven på hantering av personuppgifter stärks. Det kommer behövas nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå. GDPR kommer att gälla för alla organisationer och branscher på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder. Omställningen till den nya lagen innebär även flera fördelar och transparens gentemot kunder och anställda om det hanteras rätt.

EN BRA BÖRJAN

Bli medveten
En bra början är att undersöka hur din organisation kommer att påverkas av förordningen och framförallt hitta de områden som ni behöver arbeta särskilt med. Öka medvetandet i din organisation och försök ha alla med i båten på en gång, både beslutsfattare och personal.
Personuppgifter

En bra början är att göra en inventering och sammanställa vilka personuppgifter ni hanterar idag. Det kan vara bra att införa en policy för dataskydd och rutiner vid hanteringen av personuppgifter. Granska vilka lagliga grunder bolaget stöder sig på vid hanteringen av bolagets olika personuppgiftsregister. Säkerställ att de registrerade får information om personuppgiftshanteringen och hanteringens ändamål i samband med att informationen samlas in. 

Samtycke

Hur hanterar ni samtycke idag och hur hämtar ni in det? Ett samtycke måste vara en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. I syfte att säkra bevis är det viktigt att säkerställa att varje specifikt samtycke registreras och sparas. 

Verksamhet i flera länder
Det är i det land där din organisation har sin centrala funktion eller där beslut om personuppgiftsbehandling fattas som kommer ansvara för tillsynen av just er. Detta kan ibland vara lite komplicerat att avgöra.
Dataskyddsombud
Om ni inte redan har utsett ett ombud så försök hitta någon med goda kunskaper om dataskydd och ge personen möjlighet till utbildning och de rätta befogenheter för att kunna utföra sitt uppdrag på ett effektivt och självständigt sätt.
Personuppgiftsincident
Personuppgiftsincidenter behöver snabbt rapporteras. Därför bra att redan nu bestämma hur en incident ska hanteras och var anmälningsansvaret ligger. Det är viktigt med bra rutiner för att ni ska kunna upptäcka, rapportera och hantera personuppgiftsincidenter effektivt och säkert.
Säkerhet

Bolagen bör spara bevis på att varje registrerad individ har tagit del av informationen. Säkerställ att registren är tillräckligt skyddade. Det kan handla om såväl tekniska som organisatoriska hot både utifrån och från insidan av organisationen, framför allt obehörig åtkomst. Utgångspunkten är att bara de anställda som behöver informationen för ett berättigat syfte ska ha möjlighet att komma åt den.

Personuppgiftsbiträden

Se till att bolagets personuppgiftsbiträdesavtal uppfyller de uttryckliga kraven i den nya dataskyddsförordningen.

Bevarande och gallring

Utgångspunkten är att bolagen ska radera personuppgifterna när de inte längre behövs och många bolag behöver därför se över sina gallringsrutiner. För offentliga aktörer är det också viktigt att säkerställa att gallringsrutinerna är synkroniserade med dokumenthanteringsplanen.