Tips på hur du kommer igång med GDPR-arbetet

Redan den 25 maj blir GDPR verklighet och många företagare undrar fortfarande vad de måste göra. I den här artikeln får du svar på några av de vanligaste frågorna.

Varför införs GDPR?

Ett syfte är att stärka skyddet för den personliga integriteten. Ett annat är att harmonisera lagstiftningen så att det blir en gemensam lagstiftning för företag inom EU, men även för att lagstiftningen behövde uppdateras i takt med den tekniska utvecklingen.

Påverkas alla företag av GDPR?

I korthet kan man sammanfatta med att alla företag behöver göra något, medan många företag kommer att behöva göra mycket, säger vår jurist Louise Dufwa som har daglig kontakt med våra företagskunder.

Några av nyheterna är att höga sanktionsavgifter kan utdömas för ett bolag som inte följer GDPR.

Kraven på dig som företagare blir även högre med GDPR än med dagens PUL-regler. Inte minst är det högre krav att informera om ändamålet med hanteringen och på ett uttryckligt samtycke från den vars personuppgifter företaget hanterar.

Vilka är de viktigaste sakerna att tänka på?

Det handlar bland annat om att företaget ska ha kontroll på hur, var och varför man behandlar personuppgifter. Viktiga delar i detta är att:

1. Dokumentera alla behandlingar

Dokumentera alla behandlingar av personuppgifter företaget gör så att ni kan visa att ni uppfyller kraven. Beskriv syftet med behandlingen, hur länge ni sparar uppgifterna och på vilken laglig grund ni behandlar uppgifterna.


2. Informera era kunder och andra.

Företaget har en skyldighet att informera kunder, leverantörer och andra om ni hanterar personuppgifter. Detta kan göras i en s k integritetspolicy som ska vara lättillgänglig och som kan publiceras på företagets hemsida.

I policyn ska det bl a framgå vilka personuppgifter ni samlar in, vilket syftet är och hur länge informationen sparas.

Gå även igenom företagets befintliga avtal för att se om dessa behöver kompletteras eller skrivas om för att uppfylla de nya kraven.

3. Säkerställ rutiner

GDPR ställer krav på att företag ska kunna visa att uppgifter som samlats in antingen skett på laglig grund eller med ett uttryckligt samtycke.

De registrerade har flera rättigheter kring hanteringen av sina personuppgifter. Dels har de rätt att få tillgång till sina uppgifter och få dem rättade vid behov, dels i vissa fall raderade eller flyttade (kallas dataportabilitet). Det är naturligtvis viktigt att företaget har rutiner för detta.

Företaget bör också ha rutiner för hur man ska agera om en s k personuppgiftsincident inträffar (när någon obehörig fått tillgång till personuppgifterna).

4. Skriv Personuppgiftsbiträdesavtal

Om ni samarbetar med ett företag som behandlar personuppgifter för er räkning behöver ni upprätta ett personuppgiftsbiträdesavtal. Det kan t ex vara ett företag som behandlar era löner, redovisning, delar av er marknadsföring och mycket annat.

Ni kan inte delegera ansvaret till personuppgiftsbiträdet men med ett avtal säkerställer ni att ni är överens om alla villkor för behandlingen.

Enligt GDPR är det den personuppgiftsansvarige som ansvarar för att avtalet finns på plats.


Läs mer

För dig som vill läsa mer kan vi rekommendera följande: