+

På front.law använder vi cookies för att underlätta för dig att använda vår webbplats och hjälpa oss förbättra den. Genom att fortsätta använda vår webbplats accepterar du att cookies används. Läs vår integritetspolicy här.

Dataskyddsförordningen fyller 3 år!

Dataskyddsförordningen fyller 3 år!

Den 25 maj 2018 fick många sin mejlkorg översvämmad av företag och organisationer som informerade om att de uppdaterat sin integritetspolicy. Anledningen till detta var att dataskyddsförordningen, General Data Protection Regulation (GDPR), trädde i kraft.

GDPR ersatte den gamla personuppgiftslagen och ställer höga krav på rutiner och processer för en säker behandling av personuppgifter. GDPR kan för många verka som en stor och tung lagstiftning att ta sig igenom och det är faktiskt ett omfattande regelverk som ofta kan missuppfattas i olika hänseenden. Det är dock viktigt att ha koll på GDPR, inte minst då brott mot många av dess bestämmelser kan leda till höga bötesbelopp.

Omfattas man av GDPR innebär det att man som företag eller organisation bland annat måste strukturera upp sin personuppgiftsbehandling, ha tydliga rutiner för sin behandling av personuppgifter, informera om hur man behandlar personuppgifter, genomföra konsekvensbedömningar, ha incidentrapporteringsrutiner med mera. Även om detta kan uppfattas som krävande och något som innebär mycket arbete finns det en hel del fördelar med att vidta åtgärder för att stärka dataskyddet. Bland annat ökar förtroendet hos kunder och transparensen gentemot kunder kring vilken information som hanteras om dem. Ni som företag eller organisation får även ökad ordning och reda genom att identifiera ändamålen med personuppgiftsbehandlingen vilket i sin tur kan skapa ökad effektivitet.

Nedan kommer några punkter att tänka på för att anpassa sin organisation till GDPR.

När ni omfattas av GDPR

Så fort er organisation behandlar personuppgifter omfattas ni av GDPR. Med behandling avses all typ av behandling, såsom insamling, lagring, framtagning, spridning, ändring och så vidare. Med personuppgifter avses som tumregel all slags information som kan identifiera en levande fysisk person. Typiska exempel är namn och adresser, men även fotografier, filmer, ljudinspelningar och IP-adresser kan utgöra personuppgifter om de kan knytas till en person.

Kartlägg alla personuppgifter

Det första naturliga steget att vidta är att kartlägga alla personuppgifter. Det är viktigt att ha koll på var de kommer in och hur de rör sig inom organisationen. Fundera även på om ni delar personuppgifter med andra. Det många organisationer inte tänker på är att om man hyr en server eller molntjänst och till exempel lagrar personuppgifterna där – då har personuppgifterna faktiskt lämnat organisationen. Det är därför särskilt viktigt att ha koll på alla underleverantörer och ingå så kallade personuppgiftsbiträdesavtal med dem. För koncerner är det även viktigt att tänka på att om ni delar system inom en koncern så stannar ansvaret normalt kvar hos er, det vill säga hos det organisationsnummer som samlat in uppgifterna.

Några viktiga frågor att ställa sig är:

  • Vilka personuppgifter har vi?
  • Vad gör vi med dem?
  • Vilket lagligt stöd har vi för vår behandling?
  • Vem har tillgång till våra personuppgifter?
  • När raderar vi personuppgifterna?

Anpassa och dokumentera

Nästa steg är att anpassa sitt företag efter GDPR. Det bör bland annat finnas registerförteckning, olika interna rutiner och loggböcker. Det är även viktigt att kunna visa att man följer GDPR. Genom att till exempel föra loggbok över gallringar av personuppgifter som sker kan man styrka att gallring sker enligt GDPR.

Upprätta en integritetspolicy

Ett krav enligt GDPR är att informera de personer vars personuppgifter man behandlar om hanteringen av personuppgifter. I artikel 13 i GDPR beskrivs närmare exakt vad sådan information måste innehålla. Bland annat ska det av informationen framgå vilka personuppgifter organisationen behandlar och varför samt vem man kan vända sig till med frågor. Det kan därför vara bra att upprätta en integritetspolicy (även kallad för personuppgiftspolicy, dataskyddspolicy, sekretesspolicy med mera) som kan tillhandahållas på exempelvis organisationens hemsida.

Säkerhetsåtgärder

GDPR ställer även krav på att man vidtar säkerhetsåtgärder för att skydda personuppgifterna. Därmed kan det vara en bra idé att till exempel införa regelbundna lösenordsbyten och installera olika antivirusprogram. Det bör också observeras att GDPR ställer högre krav på behandling av så kallade särskilda kategorier av personuppgifter (till exempel uppgifter om hälsa). Sådana uppgifter ska till exempel i regel inte skickas via okrypterade mejl, eftersom det är inte är tillräckligt säkert enligt bestämmelserna i GDPR.

Sammanfattningsvis innehåller GDPR många bestämmelser om hur personuppgifter ska behandlas och vilka åtgärder som måste vidtas vid behandlingar. Det ovan nämnda utgör bara några få krav man som organisation har att följa. Vi på Front Advokater har de senaste åren ägnat mycket tid åt att anpassa olika organisationer till GDPR. Vi har bland annat hjälpt till med utbildningar, upprättat integritetspolicys, förhandlat fram personuppgiftsbiträdesavtal och agerat externt dataskyddsombud. Tveka inte på att höra av er till oss om ni har någon GDPR-relaterad fråga.

Laura Shwan Jurist | Marknadsansvarig