5 tips och råd för att få koll på ditt företags GDPR arbete

Susanne är VD och GDPR-expert på K-mit AB, företaget bakom GDPR-tjänsten datakollen.se. Här ger hon er sina 5 bästa råd för att få ordning på ditt företags GDPR arbete.

Varför finns GDPR?

Jo, GDPR finns för att skydda fysiska personer och stärka deras rättigheter till sina egna personuppgifter. Fysiska personer har genom GDPR, fått rätt till information om vilka uppgifter som sparas om dem och varför. Till skillnad från den gamla personuppgiftslagen, PUL, innebär GDPR att personer har rätt att bli raderade från samlingar, den så kallade ”rätten att bli bortglömd” och företag som inte sköter sig riskerar att få böter på upp till 20 miljoner euro.

För att arbetet med GDPR ska fungera, innebär det att företagen måste känna till allt om den persondata de hanterar och de system som hanterar den. Man måste veta på vilken laglig grund personuppgifter sparas och man måste informera de registrerade om i vilka register deras personuppgifter finns. Kort och gott kommer GDPR se till att företag och organisationer har ordentlig koll på de personuppgifter de hanterar!

Vad är egentligen en personuppgift enligt GDPR? Svar: Allt som kan kopplas till en nu levande fysisk person. Tänk personnummer, telefonnummer, mailadresser, foton, filmer, ip-nummer t.ex.

Vad är en personuppgiftssamling? En samling, fysisk eller digital, av uppgifter som kan kopplas till personer. Det kan vara ett kundregister, ett löneprogram, en pärm i bokhyllan eller ett konto i “molnet” med bilder från senaste firmafesten.

5 råd för att komma igång med GDPR arbetet 

1. Investera i företagets samlingar! Detta innebär att skriva upp samtliga samlingar som du har, varför du har dem och vilka uppgifter som finns i dem. För att få igång GDPR-tänket hos våra kunder, brukar vi ställa dessa frågor: Skickar ni ut nyhetsbrev? Har ni anställda och sparar uppgifter om dem i ett lönesystem? Finns det några register över leverantörer eller kunder? Använder ni en bokningstjänst där uppgifter samlas in och sparas? Svarar man ja på någon eller några av frågorna har man redan börjat identifiera olika samlingar.

2. Utse ett dataskyddsombud! Detta är något som Datainspektionen rekommenderar alla företag att göra, men vissa företag och organisationer har krav på sig att ha det. Om du utser ett Datasyddsombud (även om det är du själv i din egna firma) är chansen också större att tid avsätts för arbetet och att arbetet då blir gjort. Missa inte att registrera ditt Dataskyddsombud på datainspektionens webbplats!

3. Upprätta en GDPR-to-do-lista med rätt prioriteringar. Det viktigaste är att GDPR-arbetet är igång. Prioritera därefter i vilken ordning åtgärderna ska göras. Här är ett exempel på en sådan lista för en personuppgiftssamling, som baseras på samtycke:

  • Inhämta samtycke och dokumentera processen.
  • Ta bort personer som inte samtycker.
  • Informera personerna i samlingen om hur de går tillväga för att bli raderade ur samlingen och informera samtidigt om syftet med registreringen.
  • Skriv upp i kalendern när du ska radera samlingen. Alternativt, om den är permanent, när du ska inventera den igen.

4. Skriv ihop en rutin för hur ni hanterar en personuppgiftsincident (t.ex. ett dataintrång) och en policy för rutinen kring hur ni behandlar personuppgifter. Om du har dessa blir inte bara datainspektionen glad, utan arbetet med GDPR blir lättare att upprätthålla, om alla på företaget har tillgång till “reglerna” för det (jag har bra mallar som jag kan bjuda på! Ta kontakt med mig via mail så ordnar jag susanne@k-mit.se).

5. Ta hjälp! Känner du att GDPR är tråkigt (du är troligtvis inte ensam!) så finns det faktiskt folk som tycker det är kul och som kan göra arbetet åt dig. Då kan du lägga tid på det som du är bäst på och som drar in pengar till dig och ditt företag. Det finns även bra sidor på nätet som förenklar lagtexterna och som ger konkreta tips på vad du behöver göra.

Här är ett par sådana sidor:

Lycka till med GDPR-arbetet!

 

Susanne Kindblad, VD K-mit

Kommentera inlägget