GDPR

GDPR - Global Data Protection Regulation

Vad handlar lagen om?

Generellt innebär lagen att organisationer och företag som behandlar PERSONuppgifter får ett större ansvar och skyldighet att hålla koll på de uppgifter man lagrar. På andra sidan skall då den registrerade individens rättigheter stärkas.


Integritet för medborgaren är den centrala punkten. Individen äger sina uppgifter och de företag eller organisationer som hanterar dem.


Det är INTE ett förbud mot att hantera personuppgifter, utan att om att den som lagrar och behandlar personuppgifter skall ha kontroll på på var och i vilka register uppgifterna finns. Detta skall man kunna beskriva för medborgaren och för tillsynsmyndigheten. Medborgaren skall också ha chans att neka till att få sina uppgifter lagrade.


GDPR berör alla organisationer som hanterar personuppgifter om anställda och kunder. Inom organisationen kommer detta att påverka i stort sett alla. Alla anställda behöver vara medvetna om vilken policy företaget har för att hantera personuppgifter och avdelningar som IT, personal, ekonomi, marknad och kommunikation kommer att vara extra berörda.


Definitionen av vad som är en personuppgift är bred. All information som direkt eller indirekt kan kopplas till en fysisk person som är i livet räknas som en personuppgift. Alltså alla former av uppgifter som gör att man kan identifiera en person. Hit räknas till exempel bilder utan namn, ip-nummer, geografisk positionering och e-postadresser enligt modellen förnamn. efternamn@företag.se.

Skyldighet att informera

När ett företag eller organisation insamlar eller registrerar personuppgifter skall det tydligt framgå vilka uppgifter man lagrar. Den registrerade skall dessutom kunna begära ut ett registerutdrag. Uppgifterna bland annat skall kunna anges är:

  • Kontaktuppgifter till personuppgiftsansvarig
  • Dataskyddsombud (om sådant finns)
  • Ändamål med behandlingen av personuppgifterna
  • Rättslig grund för behandling av personuppgifterna
  • Berättigat intresse vid intresseavvägning
  • Om det finns andra mottagare av personuppgifterna
  • Om det görs en tredjelandsöverföring
  • Lagringstid
  • Vilka rättigheter den registrerade har
  • Information om rätten att dra tillbaka samtycke (om sådant finns)
  • Information om rätten att lämna klagomål till tillsynsmyndigheten
  • Behandling av personuppgifter enligt avtal eller lag
  • Om det förekommer automatiserat beslutsfattande och profilering
  • Behandling av personuppgifterna för annat ändamål

När uppgifterna kommer från någon annan än den registrerade behöver källan anges samt vilka kategorier av uppgifter som samlats in. När den registrerade ber om ett registerutdrag gäller en något mindre version av listan ovan.


Datainspektionen har en sida med frågor och svar för företagare
Du hittar den här


På verksamt.se finns även en interaktiv guide för dig som företagare
Du hittar den här

Checklista - Gör ditt företag GDPR redo

  1. Utse ansvarig/ansvariga och tillsätt en arbetsgrupp
    Det är en god idé att utse en eller flera ansvariga för personuppgiftsbehandlingen. Tänk på att alla avdelningar som hanterar personuppgifter behöver involveras i arbetet.
  2. Gör en inventering
    Sätt upp ett register över företagets lagrade personuppgifter. Till en början kan man föra ett register i excel, men det börjar dyka upp program på marknaden för att föra dessa register. Registret skall ni kunna visa upp för Datainspektionen som är tillsynsmyndighet. Ni skall också kunna hämta uppgifter från detta när en registrerad begär ut sina uppgifter.
  3. Prioritera
    Ni har sannolikt områden som ni har mindre koll på än andra eller uppgifter som är mer känsliga, tex uppgifter om barn? Prioritera dessa områden och få koll på detta i ett tidigt skede.
  4. Rensa
    Städa i arkiven! radera uppgifter som inte är viktiga , eller uppgifter som är gamla och meningslösa. Lagra helt enkelt så lite som möjligt.
  5. Kolla över säkerheten!
    Både IT-säkerhet och fysisk säkerhet skall garantera att inte uppgifterna kommer på villovägar.
  6. Ta fram en enkel mall för incidentrapportering
    Om något skulle hända, om tex data skulle bli stulet eller komma på villovägar av någon anledning så skall en sådan incident anmälas till Tillsynsmyndigheten. LÄNK
  7. Ta fram generell EXTERN personuppgiftspolicy
    Ni skall ha ett dokument som beskriver hur ni hanterar personuppgifter generellt. Denna skall ni kunna visa upp för den registrerade vid insamling av uppgifter.
  8. Ta fram en extern personuppgiftspolicy för varje enskilt fall.
    Samlar ni in olika uppgifter så skall det finnas en policy för varje typ av insamling. Tex Uppgifter för nyhetsbrev, Uppgifter för köp, Uppgifter för marknadsundersökning?
  9. Skriv avtal med alla anställda som hanterar personuppgifter.
    Alla anställda som hanterar personuppgifter bör ha ett ansvarsavtal som reglerar vilket deras ansvar är.
  10. Konsultera en jurist
    Efter att ni gjort punkterna 1-9 kan det vara lämpligt att konsultera en jurist för att titta på era policyskrivningar och avtal.
    Detta är inte nödvändigt men skulle ni känna er osäkra kan det vara tryggt att få en utomståendes synpunkt.

    MEDLEMSFÖRMÅN
     Som medlem i Företagarförbundet har du förmån att få prata med en kunnig konsult inom detta område. Du hittar kontaktuppgifter längst ner på denna sida.
  11. Vilken tillsynsmyndighet tillhör ni?
    Datainspektionen är den svenska tillsynsmyndigheten. Har ni verksamhet i fler länder kan ni behöva bestämma vilken myndighet ni lyder under. Medborgaren kan alltid vända sig till tillsynsmyndigheten i sitt land för att klaga om denne upplever att hens uppgifter inte blir behandlade på ett korrekt sätt.
  12. Ta fram en INTERN personuppgiftspolicy
    Ta fram tydliga riktlinjer för hur alla anställda skall behandla de personuppgifter som företaget hanterar. Detta är ofta en kultur som kan behöva ändras och följas upp löpande. Tex säljare som lagrar uppgifter om kunder, kan företaget redogöra för hur detta görs idag?
  13. Se över anställningsavtalen
    Kanske behöver dessa skrivas om så att de täcker all behandling av era anställdas personuppgifter.
  14. Ta fram en strategi för kommunikation mot kunder.
    Formulera er EXTERNA policy till något positivt när ni kommunicerar den med era kunder. Fundera ordentlig över vilka medgivanden ni behöver, ni vill undvika att göra detta två gånger.
  15. Tillämpa
    Inför GDPR i det dagliga arbetet och följ upp löpande så att arbetet efterlevs.

Har du som medlem frågor kring GDPR och hur dessa regler påverkar just ditt företagande, så tveka inte att höra av dig till oss och nyttja er fina förmån att få prata med en kunnig konsult inom detta område. Maila till oss på info@ff.se  eller ring till vårt medlemskansli på 020-760 761 ank. 2, så förmedlar vi kontakten. Ha ditt org.nr till hands när du hör av dig, så hittar vi dig lättare.


Lycka till!