Alla artiklar

Checklista: Nulägesanalysen

Denna checklista hjälper dig komma igång med den del av GDPR-arbbetet som rör nulägesarbetet.

Profilbild
Elin Kalmhoff
·4 min läsning

För att kunna anpassa verksamheten till Dataskyddsförordningens regelverk måste du först undersöka och förstå hur din verksamhet hanterar (behandlar) personuppgifter idag. Det första steget bör därför vara att ni inventerar hur uppgifterna samlas in, hur man behandlar dem och hur man lagrar och skyddar dem mot obehöriga.

Man kommer under denna process också se på när dataskyddsförordningen skall tillämpas, vilka undantag det finns och utifrån vilken laglig grund man har stöd för sin hantering av personuppgifterna. Slutligen bör arbetet mynna ut i en handlingsplan med syfte att åtgärda det som behövs för att leva upp till förordningens regelverk, både ur organisatoriskt och IT-säkerhetsperspektiv.

Nedan beskrivs en enkel checklista för att komma igång med själva nulägesarbetet.

1. Sätt samman en projektgrupp med kompetens för arbetet

Sätt samman en projektgrupp för arbetet bestående av de personer som du idag vet har kunskap om hur ni hanterar personuppgifter (ex någon personalansvarig chef som hanterar anställningsprocessen, ekonomiansvarig som hanterar uppgifter i era olika personal- & lönesystem, IT-ansvarig, HR/Personalansvarig om sådan finns, ytterligare personer etc)

2. Teckna upp en schematisk bild av nuläget

Försök att teckna upp en enkel karta som illustrerar personuppgifternas olika vägar in i organisationen (exempelvis via anställning), beskriv flödet dvs vad händer med uppgifterna, vem tar emot vad, vilka har tillgång, var sparas de, finns det fysiska och elektroniska kopior, till vad används uppgifterna, hur länge sparas de etc), använder man samtycke till några uppgifter etc?

3. Dokumentera och analysera personuppgiftsbehandlingen

Dataskyddsförordningen har krav på att man skall föra registerförteckning över alla behandlingar av personuppgifter, så att strukturera nulägesanalysen på liknande sätt är en god idé redan i analysdelen. Det blir då mycket enklare att sammanställa registerförteckningen framöver. Du bör därför få svar på följande frågor i din nulägesanalys:

1. Vilka uppgifter behandlas?

- Notera alla uppgifter som man samlar in och hur de behandlas.

2. Vilket syfte (ändamålet) har respektive behandling?

- Varför behandlar man uppgifterna? Är de nödvändiga?

3. Behandlar man känsliga uppgifter eller uppgifter om barn?

- För känsliga uppgifter samt uppgifter om barn gäller särskilda regler.

4. Utifrån vilken laglig grund genomför man olika behandlingar?

- Principen att man inte skall behandla fler uppgifter än nödvändigt är en bra tumregel. Förordningen ställer sedan krav på att varje behandling som man då anser är ”nödvändig” skall vara laglig. Man kan ha lagligt stöd för behandling utifrån följande,

  • behandlingen är nödvändig för att fullgöra avtal med den registrerade

  • behandlingen är nödvändig för att fullgöra en rättslig förpliktelse

  • behandlingen görs utifrån intresseavvägning (dvs att personuppgiftsansvarigs skäl för att behandla uppgifterna väger tyngre än den registrerades intressen eller grundläggande rättigheter eller friheter

  • behandlingen görs med samtycke från den registrerade

5. Hur skall man tillmötesgå den registrerades krav på rättigheter?

- Finns rutiner för att informera och tillmötesgå den registrerades krav på rättigheter (exempelvis portabilitet etc)?

6. Vilka samtycken samlar man in?

- Hur samlar man in samtycket? Är det frivilligt?

7. Vilka kategorier av registrerade finns och vilka kategorier av personuppgifter samlas in och behandlas?

8. Vilka lämnar man vidare uppgifter till?

- Vilka kategorier av mottagare (exempelvis behöriga funktioner inom företaget, tredje part, myndigheter etc) finns det?

9. Har man verksamhet i andra länder?

- Överför man uppgifter till tredjeland eller inom en internationell organisation?

10. Vem i organisationen är ansvarig för dataskyddsfrågor?

11. Hur länge lagrar man personuppgifterna (tidsfrister för radering)?

12. Vilka organisatoriska rutiner och styrdokument finns på plats och vad behöver uppdateras respektive tas fram?

13. Vilket IT-skydd finns inbyggt i systemen för att skydda åtkomst från andra än behöriga?

14. Vilka säkerhetsrutiner har man för att upptäcka och hantera brister?

- Skapa ett enkelt Exceldokument med kolumner för de olika frågorna och genomför analysen tillsammans med projektgruppen. Ett kostnadseffektivt sätt är att göra själva förarbetet och insamling av information kring frågorna i pkt 3 på egen hand.

När detta är gjort kan man sedan ta hjälp av extern expertis för:

  • avstämning kring korrekt resonemang för lagligt stöd

  • eventuellt behov av hjälp med att ta fram organisatoriska rutiner, styrdokument etc

  • behovet av hjälp kring utveckling av åtgärder för att öka IT-skyddet, behörighetsstyrning, rutiner etc

4. Upprätta handlingsplan för att åtgärda

När du gjort nulägesanalysen och fått en god bild av hur man hanterar personuppgifter i organisationen, vilka rutiner och åtgärder som måste prioriteras för att leva upp till Dataskyddsförordningens regelverk är det dags att upprätta en handlingsplan. Handlingsplanen bör innehålla beskrivningar av åtgärderna, syftet, vem som ansvarar, vilka resurser som krävs för att åtgärda och en tydlig tidsplan.

Har du ytterligare frågor?

Mer från easy2perform

logo

Vi som jobbar med easy2perform fokuserar på att ge stöd och vägledning till företag, chefer och medarbetare. Oavsett om det sker genom våra gratislösningar på mobil & webb, kurser eller konsulttjänster, levererar vi kunskap som gör det enklare att prestera i yrkesrollen.

Sidor

Kontakta oss