Checklista: 10 viktiga saker att tänka på vid GDPR-arbetet

(GDPR) ska tillämpas direkt i EU:s medlemsstater från och med den 25 maj 2018 och i Sverige ska den tillämpas tillsammans med bl.a. den svenska kompletteringslagstiftningen.

Varje upplysning som kan hänföras till en viss person är att betrakta som en personuppgift. Flera upplysningar som i kombination gör det möjligt att identifiera en person är också att betrakta som personuppgifter. Några exempel på personuppgifter är namn, adress, e-postadress, IP-nummer och konto- och kreditkortsnummer.

Observera att begreppet personuppgifter är vidsträckt, i synnerhet då en upplysning som i sig inte är att betrakta som en personuppgift kan komma att utgöra en personuppgift i kombination med andra upplysningar.

Med personuppgiftsbehandling avses en åtgärd eller en kombination av åtgärder avseende personuppgifter bl.a. insamling, registrering, organisering, lagring, bearbetning eller ändring, läsning, användning, utlämning genom överföring, spridning och radering eller förstöring. Begreppet kan i princip sägas innefatta allt som görs med personuppgifterna. Framför allt bör man tänka på att även lagring av personuppgifter är en behandling.

Håller man inte på med personuppgifter eller behandling av dessa – vilka är två centrala och vidsträckta begrepp i förordningen – är den inte tillämplig. Dock omfattas i stort sett alla företag och organisationer, även ideella föreningar, av förordningen då, man på ett eller annat sätt behandlar någon form av personuppgifter.

Nedan finner du 10 enkla råd kring, vad du som skall arbeta med att anpassa verksamheten till förordningens regelverk, bör tänka på.

1. Skaffa kunskap för att anpassa verksamheten

För att kunna göra alla delar i anpassningsarbetet kräver det både förståelse och kunskap. Du kommer troligtvis inte att kunna hantera alla delar (juridiken som krävs för att uppdatera och skriva avtal, policyer, mallar, att projektleda och strukturera arbetet, ta fram och implementera rutinerna som krävs). Ta hjälp till det du behöver.

2. Samla nödvändig kompetens och informera nyckelpersoner.

Se till att involvera olika nyckelfunktioner i företaget för att få in den information som visar hur ni idag hanterar personuppgifter. Oftast är flöden av uppgifter större än vad man först trodde.

3. Se till att ha koll

Förordningen ställer höga krav på ordning och reda. Identifiera alla behandlingar och lista dem i en registerförteckning. Det finns tydliga krav på hur den skall utformas och underhållas.

4. Behandla inget du inte får

Uppgifter du inte har tillåtelse att ha (laglig grund + grundläggande principerna) måste raderas. Punkt.

5. Vilka är ansvariga?

Förordningen ställer krav på att det är tydligt vem som är personuppgiftsansvarig och vem som är ev. biträde. Tydliga avtal och instruktioner skall upprättas här, avtal som ofta kräver juridisk hjälp vid utformning.

6. Åtgärda det som inte lever upp till kraven

Gör en lista kring vad som måste åtgärdas, på organisatorisk nivå för att man lever upp till de krav på rutiner för att hantera den registrerades rättigheter, kraven på information och transparens etc.

7. Gör en översyn kring IT-säkerheten

Förordningen ställer höga krav på informationssäkerhet och att personuppgifterna skyddas från obehöriga. Men också för att kunna hantera rättelser, radering och dataportering.

8. Åtgärda IT-säkerhetsbrister och ta fram rutiner för att öka säkerheten

9. Dokumentera

Du har stort eget ansvar för att kunna visa upp att du följer regelverket. Se därför till att ha dokumentation, uppdaterade policyer och rutiner på plats.

10. Informera, utbilda och följ upp

Alla anställda måste informeras om de nya rutinerna och de måste ”arbetas” in i företaget för att det skall få effekt. Dataskyddsförordningen bör vara en stående punkt för ledningsgruppen och man bör bedriva ett löpande arbete beträffande utvärdering, kontroll och uppdatering av arbetet för att säkerställa att man lever upp till lagen, och att allt fungerar samt att man har underlag i form av dokumentation som visar det.

Har du ytterligare frågor?