Lilla lathunden till GDPRDetta bör du ha koll på

GDPR

GDPR, General Data Protection Regulation, bygger vidare på dataskyddsdirektivet från 1995 (som fram tills 2018 styrde personskyddet i Sverige) och innebär kort och gott att integritetsskyddet för individen är starkare och att kraven på hanteringen av personuppgifter numera är mer omfattande.

Beroende på hur er organisation och ert sätt att hantera person- och kunduppgifter* ser ut påverkar GDPR er på olika sätt.

Det här bör du ha koll på:

– Företaget ska på ett tydligt och lättbegripligt sätt informera individen om varför de behandlar dennes personuppgifter, vilka uppgifter det rör sig om och hur de hanteras.

– Individen har rätt att kräva ett utdrag på vilka personuppgifter som lagras samt hur dessa har använts. Hen har även rätt att kräva att uppgifterna raderas.

– Om ditt företag inte har rättsliga skäl till lagring och hantering, till exempel genom folkbokföring, anställningsavtal, leverantörsavtal och liknande, måste ni ha individens samtycke till hanteringen.

– Om företaget lagrar/behandlar uppgifter av “berättigade behov”, det vill säga ej rättsliga, måste ni kunna visa hur ni har resonerat för att bedöma behovet av att spara individens uppgifter.

– Företag är skyldiga att dokumentera hur de lagrar och hanterar personuppgifter samt på begäran spåra hur uppgifterna har använts och bevisa att rutinerna kring hanteringen följs.

– Det är krav på att ha inbyggt dataskydd som standard. Känsliga data ska alltid krypteras.

– Datainspektionen kan utfärda böter på upp till fyra procent av företagets årsomsättning, eller upp till 20 miljoner euro, om GDPR-reglerna inte följs.

– Reglerna för att få föra vidare data till tredje part är skärpta och ni måste kunna försäkra er om att eventuella samarbetspartners som tar del av personuppgifterna också följer GDPR.

* Personuppgifter definieras i det här fallet som allt som kan användas för att identifiera en person. Exempelvis kan det vara namn, personnummer, mejladress, fysisk eller digital adress (IP-adress), bilder, ljudupptagning osv.

Var börjar man?

Har du läst så här långt förstår du säkert varför det är viktigt att tänka efter när det kommer till vilka personer som har åtkomst till den här typen av data. Se till att ha en rejäl genomgång av vem på företaget som har ansvar för och åtkomst till olika uppgifter. Gör en analys av de uppgifter ni har i dag. Spara endast det som är nödvändigt och sätt upp rutiner för hur informationen ska säkras för att uppfylla GDPR-kraven.

Sist men inte minst: gör er hemläxa ordentligt när ni väljer samarbetspartners. Använd er av pålitliga och professionella leverantörer som kan bevisa att de kan hålla både era och era kunders personuppgifter säkrade.