I en undersökning bland förbundets medlemmar under januari visade det sig att många medlemmar inte har börjat förbereda sig på GDPR som börjar gälla den 25 maj. Många saknar också kunskap om vad som gäller för sitt företag.

Företagarförbundet har tagit fram en checklista som du som företagare kan använda för att göra ditt företag GDPR redo!

 

Den nya personuppgiftslagen GDPR, General Data Protection Regulation, som ersätter vår gamla PUL PersonUppgiftsLagen träder ikraft den 25 maj 2018. Några viktiga nyheter är att alla företag har skyldighet att anmäla incidenter och relativt höga sanktionsavgifter kan drabba den som missköter sig.

Vad handlar lagen om?
Generellt innebär lagen att organisationer och företag som behandlar PERSONuppgifter får ett större ansvar och skyldighet att hålla koll på de uppgifter man lagrar. På andra sidan skall då den registrerade individens rättigheter stärkas.

Integritet för medborgaren är den centrala punkten. Individen äger sina uppgifter och de företag eller organisationer som hanterar dem.

Det är INTE ett förbud mot att hantera personuppgifter, utan att om att den som lagrar och behandlar personuppgifter skall ha kontroll på på var och i vilka register uppgifterna finns. Detta skall man kunna beskriva för medborgaren och för tillsynsmyndigheten. Medborgaren skall också ha chans att neka till att få sina uppgifter lagrade.

GDPR berör alla organisationer som hanterar personuppgifter om anställda och kunder. Inom organisationen kommer detta att påverka i stort sett alla. Alla anställda behöver vara medvetna om vilken policy företaget har för att hantera personuppgifter och avdelningar som IT, personal, ekonomi, marknad och kommunikation kommer att vara extra berörda.

Definitionen av vad som är en personuppgift är bred. All information som direkt eller indirekt kan kopplas till en fysisk person som är i livet räknas som en personuppgift. Alltså alla former av uppgifter som gör att man kan identifiera en person. Hit räknas till exempel bilder utan namn, ip-nummer, geografisk positionering och e-postadresser enligt modellen förnamn. efternamn@företag.se.

Skyldighet att informera

När ett företag eller organisation insamlar eller registrerar personuppgifter skall det tydligt framgå vilka uppgifter man lagrar. Den registrerade skall dessutom kunna begära ut ett registerutdrag.

Uppgifterna bland annat skall kunna anges är:

– Kontaktuppgifter till personuppgiftsansvarig
– Dataskyddsombud (om sådant finns)
– Ändamål med behandlingen av personuppgifterna
– Rättslig grund för behandling av personuppgifterna
– Berättigat intresse vid intresseavvägning
– Om det finns andra mottagare av personuppgifterna
– Om det görs en tredjelandsöverföring
– Lagringstid
– Vilka rättigheter den registrerade har
– Information om rätten att dra tillbaka samtycke (om sådant finns)
– Information om rätten att lämna klagomål till tillsynsmyndigheten
– Behandling av personuppgifter enligt avtal eller lag
– Om det förekommer automatiserat beslutsfattande och profilering
– Behandling av personuppgifterna för annat ändamål

När uppgifterna kommer från någon annan än den registrerade behöver källan anges samt vilka kategorier av uppgifter som samlats in. När den registrerade ber om ett registerutdrag gäller en något mindre version av listan ovan.

Datainspektionen har en sida med frågor och svar för företagare
Du hittar den här

På verksamt.se finns även en interaktiv guide för dig som företagare
Du hittar den här

Checklista

Gör ditt företag GDPR redo.

1. Utse ansvarig/ansvariga och tillsätt en arbetsgrupp
Det är en god idé att utse en eller flera ansvariga för personuppgiftsbehandlingen. Tänk på att alla avdelningar som hanterar personuppgifter behöver involveras i arbetet.

2. Gör en inventering
Sätt upp ett register över företagets lagrade personuppgifter. Till en början kan man föra ett register i excel, men det börjar dyka upp program på marknaden för att föra dessa register. Registret skall ni kunna visa upp för Datainspektionen som är tillsynsmyndighet. Ni skall också kunna hämta uppgifter från detta när en registrerad begär ut sina uppgifter.

3. Prioritera
Ni har sannolikt områden som ni har mindre koll på än andra eller uppgifter som är mer känsliga, tex uppgifter om barn? Prioritera dessa områden och få koll på detta i ett tidigt skede.

4. Rensa
Städa i arkiven! radera uppgifter som inte är viktiga , eller uppgifter som är gamla och meningslösa. Lagra helt enkelt så lite som möjligt.

5. Kolla över säkerheten!
Både IT-säkerhet och fysisk säkerhet skall garantera att inte uppgifterna kommer på villovägar.

6. Ta fram en enkel mall för incidentrapportering
Om något skulle hända, om tex data skulle bli stulet eller komma på villovägar av någon anledning så skall en sådan incident anmälas till Tillsynsmyndigheten. LÄNK

7. Ta fram generell EXTERN personuppgiftspolicy
Ni skall ha ett dokument som beskriver hur ni hanterar personuppgifter generellt. Denna skall ni kunna visa upp för den registrerade vid insamling av uppgifter.

8. Ta fram en extern personuppgiftspolicy för varje enskilt fall.
Samlar ni in olika uppgifter så skall det finnas en policy för varje typ av insamling. Tex Uppgifter för nyhetsbrev, Uppgifter för köp, Uppgifter för marknadsundersökning?

9. Skriv avtal med alla anställda som hanterar personuppgifter.
Alla anställda som hanterar personuppgifter bör ha ett ansvarsavtal som reglerar vilket deras ansvar är.

10. Konsultera en jurist
Efter att ni gjort punkterna 1-9 kan det vara lämpligt att konsultera en jurist för att titta på era policyskrivningar och avtal.
Detta är inte nödvändigt men skulle ni känna er osäkra kan det vara tryggt att få en utomståendes synpunkt.
MEDLEMSFÖRMÅN Som medlem i Företagarförbundet har du förmån att få prata med en kunnig konsult inom detta område. Du hittar kontaktuppgifter längst ner på denna sida.

11. Vilken tillsynsmyndighet tillhör ni?
Datainspektionen är den svenska tillsynsmyndigheten. Har ni verksamhet i fler länder kan ni behöva bestämma vilken myndighet ni lyder under. Medborgaren kan alltid vända sig till tillsynsmyndigheten i sitt land för att klaga om denne upplever att hens uppgifter inte blir behandlade på ett korrekt sätt.

12. Ta fram en INTERN personuppgiftspolicy
Ta fram tydliga riktlinjer för hur alla anställda skall behandla de personuppgifter som företaget hanterar. Detta är ofta en kultur som kan behöva ändras och följas upp löpande. Tex säljare som lagrar uppgifter om kunder, kan företaget redogöra för hur detta görs idag?

13. Se över anställningsavtalen
Kanske behöver dessa skrivas om så att de täcker all behandling av era anställdas personuppgifter.

14. Ta fram en strategi för kommunikation mot kunder.
Formulera er EXTERNA policy till något positivt när ni kommunicerar den med era kunder. Fundera ordentlig över vilka medgivanden ni behöver, ni vill undvika att göra detta två gånger.

15. Tillämpa
Inför GDPR i det dagliga arbetet och följ upp löpande så att arbetet efterlevs.

 

Har du som medlem frågor kring GDPR och hur dessa regler påverkar just ditt företagande, så tveka inte att höra av dig till oss och nyttja er fina förmån att få prata med en kunnig konsult inom detta område. Maila till oss på info@ff.se  eller ring till vårt medlemskansli på 020-760 761 ank. 2, så förmedlar vi kontakten. Ha ditt org.nr till hands när du hör av dig, så hittar vi dig lättare.

Lycka till!

 

 

 

 

 

Medlemsförmåner

Juridisk rådgivning

Kostnadsfri telefonrådgivning från Rådgivningspanelen

Medlemspanelen

Din röst i opinionsarbetet med hjälp av webbenkäter

Medlemstidningen

Medlemstidningen speglar vad som händer i småföretagarnas Sverige

Inköpscentral med mycket fördelaktiga medlemsrabatter

Partner Företag ger ditt företag ett omfattande skydd.

En förmånlig gruppförsäkring, Partner Hälsa.

Tele2 abonnemang och tjänster till rabatterade priser

35% rabatt på rabattberättigat katalogsortiment

Tanka enkelt och förmånligt med OKQ8 Företagskort

Bokföring och fakturering utan kostnad i sex månader!
Därefter 198 kr/mån

Peugeot - upp till 26 procents rabatt
Rabatt på drivmedel och tillbehör
Telefoni och surf till företagarpris!
De senaste affärsnyheterna!

Mynewsdesk