MENY

GDPR – General Data Protection Regulation, så här gör du.

GDPR - för småföretagare (10 min)

GDPR = General Data Protection Regulation (dataskyddsförordningen)

ideplanket.se-GDPR-logga+lås_w650x650

EU’s nya GDPR-lag gäller i princip alla företag och organisationer som behandlar personuppgifter på något sätt. Är ditt företag redo?

Den 25 maj 2018 skall det vara klart, annars kan dryga straffavgifter vänta! Vi kan hjälpa dig att göra ditt företag redo för GDPR.

 

Översikt för småföretagare

Då de flesta av våra kunder är småföretagare precis som oss, så väljer vi att se detta ur ett småföretagares perspektiv och vad som är viktigast som man då behöver göra för att bemöta EU’s nya GDPR (dataskyddsförordningens) krav. Den 25 maj 2018 ersätter GDPR den tidigare Svenska PUL (Personuppgiftslagen).

Sannolikheten för att Datainspektionen står och knackar på just din dörr som småföretagare den 25 maj 2018 är dock väldigt liten. Skulle dom ändå göra det och du ej gjort något kan de dock bli kostsamma konsekvenser, men först efter några tillrättavisningar och påminnelser, så kan de bli aktuellt med eventuella straffavgifter upp till max 4% av din årsomsättning.

Men om du trots allt får en inspektion så är det bra att kunna uppvisa att du i alla fall påbörjat GDPR arbetet och även har en hållbar plan för att färdigställa den. Då lär du slippa straffavgifter.

Använd nedan samlade tips för att komma igång med GDPR arbetet och sätt ihop en hållbar plan (cirka 10 min läsning). Kontakta oss gärna om du behöver vår konsulthjälp med GDPR för ditt företag eller organisation.

 

”Måsten” – senast 2018-05-25

• DOKUMENTERA – Skapa ett GDPR kontroll dokument.
Det allra viktigaste är att kunna presentera dokument till Datainspektionen som visar att företaget har kontroll på hur, var och varför ni samlar in personuppgifter i t.ex. era kundregister, CRM-system, nyhetsbrev från er hemsida m.m. Samt varför detta är affärskritiskt. Dokumentera alla behandlingar av personuppgifter i företaget och så att ni kan visa att ni uppfyller kraven.

  • Beskriv syftet. Är datainsamlingen affärskritisk för att kunna sköta dina kundrelationer? Isf har du rätt att inhämta dom.
    Exempel, utan mailadress / postadress / org.nr. går det inte att fakturera kunden.
  • Vilka uppgifter samlas in?
  • Hur länge sparas uppgifterna?
  • På vilken laglig grund eller med vilket samtycke görs detta? T.ex. via kundavtal, kryssruta för nyhetsbrev etc.

• INTREGITETSPOLICY – Skapa en sida om det på er hemsida.
Med GDPR får man skyldighet att informera kunder, leverantörer, personal m.fl. hur man hanterar deras personuppgifter. Skapa därför en integritetspolicy på hemsidan med hjälp av ovan dokumentation som tydligt visar;

  • vilken data som samlas in,
  • var och hur länge det sparas,
  • varför man behandlar personuppgifter,
  • på vilken laglig grund eller med vilket samtycke det görs,
  • ange vem eller vilka som är ansvariga (se DPO nedan).
  • Publicera sedan den på företagets hemsida, så har du löst den skyldighten.
  • Exempel: Idéplankets egna integritetspolicy.
  • Gå även igenom företagets kundavtal om något behöver kompletteras med detta.

• ANSVAR – Vem är dataskyddsombud (DPO)
Utöver detta så bör ni även ha utsett ansvarig person / personer för detta, ofta kallad dataskyddsombud eller DPO (Data Protection Officer). Till denna skall även kontaktuppgifter finnas. Bör även finnas med i ovan integritetspolicy.

  • Skapas enklast via en mailadress för detta (gdpr@foretag.se) så det kan delas / överlåtas mellan flera personer på företaget och / eller;
  • ett GDPR-val på er hemsidas kontaktsida och dess kontaktformulär. Så att kunden t.e.x. kan kryssa i ”GDPR / personuppgifter” och sedan fylla i vad ärendet gäller.
  • Exempel:
    // Idéplankets egna kontaktsida?
    // Se lopias exempel m speciell sida för det. alt i policy dok direkt > kontaktsida + en ”GDPR” ämnes box där?

• SÄKERHET – Obehörig access och säkerställ rutiner
De registrerade har de rätt att få tillgång till sina uppgifter och få dem rättade vid behov. De har även rätt att i vissa fall få dem raderade eller flyttade (s.k. dataportabilitet). Företaget bör också ha rutiner för hur man ska agera om en så kallad personuppgiftsincident inträffar (när någon obehörig fått tillgång till personuppgifterna).

Om ni samarbetar med ett företag som behandlar personuppgifter för er räkning behöver ni upprätta ett personuppgiftsbiträdesavtal. Det kan till exempel vara ett företag som behandlar era löner, redovisning, delar av er marknadsföring och mycket annat. Skapa därför tydliga och dokumenterade rutiner för om;

  • någon får obehörig access till era insamlade uppgifter,
  • de registrerade vill få sina uppgifter ändrade, flyttade eller raderade.
  • Skriv personuppgiftsbiträdesavtal med 3:e parts hantering av era uppgifter (friskriver ej ert ansvar men visar villkor för databehandlingen). Enligt GDPR är det den personuppgiftsansvarige som ansvarar för att avtalet finns på plats.

När du ordnat ovan har du löst det mest akuta med GDPR, men du bör natruligtvis även fortsätta med nedan innan du kan anse dig färdig med de krav GDPR ställer. Kontakta oss om du behöver hjälp med detta.

 

 

Nästa steg framåt med GDPR arbetet… 

Företaget ska ha kontroll på hur, var och varför man behandlar personuppgifter. Se det som att du inte äger uppgifterna, utan lånar dem. Då har du kommit en bit på vägen! Om du är transparent med hur du använder och skyddar uppgifterna, kan det också vara ett sätt att bygga förtroende med dina kunder.

Checklista

Nedan listar advokat Claes Månsson, som har lång erfarenhet av personuppgiftsjuridik, ett antal punkter. De är en bra start för att kartlägga företagets behandling av personuppgifter.

  • Vilka it-system har företaget för att registrera personuppgifter?
  • För vilket ändamål registreras dessa personuppgifter?
  • Är uppgifterna nödvändiga för att företaget ska kunna utföra sin affär?
  • Minimera antalet uppgifter, minimera lagringstiden.
  • Gallra! Många företag slarvar och har kvar exempelvis gamla kunder i sina register. Bestäm när och hur ofta gallringen ska ske.
    – Vid garanti åtaganden kan man behöva behålla data under minst hela garantitiden, vid en kunds ev. reklamation av en tjänst eller vara.
  • Inför en strikt informationsstrategi för när och hur företaget ska överföra information till de registrerade.
  • Sträva efter öppenhet. Det ska framstå som självklart för den registrerade att företaget både behöver uppgifterna och att uppgifterna behandlas på det aktuella viset.
    – T.ex. för att kunna fakturera kunden.
    – Följa upp kundens önskemål i en affär.
    – Förstå relationer i affärer med flera parter, respektive roll i projekt m.m.
  • Säkerhetsfrågor som åtkomstskydd, behörighetskontroll och loggning är viktiga ska kunna kontrolleras.
    – Finns data i något ”moln” eller lagras det bara på en dator?
    – Vilka personer har tillgång till datan?
    – Krävs inloggning för att komma åt datan?
  • Utlämnande av uppgifter utanför EU kräver särskild regelefterlevnad.

6 frågor att svara på

Svara på frågorna här nedan och kom igång med GDPR i ditt företag. Ha ett särskilt dokument för dina svar, som du kan ta fram om Datainspektionen kommer.

1.Vilka uppgifter hanterar ni?

Inventera och dokumentera vilka personuppgifterna är, hur de samlas in och till vem uppgifterna lämnas ut. Det kan vara kundregister, prospektlistor, medlemslistor och kontaktlistor.

2. Vilken information lämnar ni?

Granska den information ni lämnar om/till de personer som är registrerade hos er och tänk igenom vilka förändringar som kan bli nödvändiga. Det kan handla om hur, varför och till vem ni skickar ut reklam och erbjudanden.

3. Används missbruksregeln?

I PuL fanns ett undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Med ostrukturerat material menas exempelvis e-post och enklare namnlistor som du har i datorn. Missbruksregeln försvinner nu, vilket innebär att om ditt företag i dag stödjer sig på den måste ni ändra rutiner.

4. Hur ska ni möta de registrerades rättigheter?

Hur ser rutinerna ut när någon begär en rättelse i era system? Kan era system hjälpa er att hitta och rätta uppgifterna? Vem beslutar om att uppgifter ska rättas? GDPR kallas ibland för ”lagen om rätten att bli bortglömd”. Alla som finns i dina register ska ha rätt att bli helt borttagna. Klarar ditt företag det?

5. Hur ser ni till att registreringen är laglig?

Det finns olika grunder för att få hålla ett personregister. En sådan grund är samtycke. Men direkt samtycke från de registrerades sida är ofta inte möjligt. Du kan ha registret på andra grunder, till exempel för att:

  • Fullgöra ett avtal.
  • Fullgöra en laglig förpliktelse.
  • Fullgöra ett enskilt intresse (ditt företags intresse väger tyngre än den enskildes).

Det viktiga är att den registrerade ska kunna bli borttagen från ditt register.

6. Vem/vilka ansvarar för dataskyddsfrågor?

Bestäm vem i organisationen som har ansvaret för dataskyddsfrågor, annars riskerar det att falla mellan stolarna.

//

 

  • Krav på samtycke vid registrering av personuppgifter.
  • Kryssruta för samtycke vid digital registrering och tydlig hänvisning till text om GDPR och hur du behandlar uppgifterna. (som t.ex. denna text).
  • Du behöver hålla koll på varför du behandlar en viss persons personuppgifter.
  • Rätten att bli bortglömd.
  • En person har rätt att få veta vilka personuppgifter som behandlar om den.
  • Anonymisering / pseudonymisering av personuppgifter som du inte längre har rätt att behandla.

//

 

 

// Loopia textkopia;

Dina skyldigheter (om du driver företag)

Driver du ett företag har du samma skyldigheter som Loopia och alla andra företag kring hur du hanterar personlig data om dina kunder.

Nedan hittar du några tips från oss vad du behöver tänka på för att ditt företag ska uppfylla dataskyddsförordningen (GDPR).

Är er organisation medveten om EU:s nya dataskyddsförordning?

  • Försäkra dig om att alla i din organisation har koll på vad GDPR innebär i stora drag.
  • Se till att beslutsfattare och nyckelpersoner vet att GDPR ersätter personuppgiftslagen (PUL) och vad skillnaderna är.
  • Undersök hur er organisation kommer att påverkas och identifiera de områden ni måste arbeta särskilt med.

Vilka personuppgifter hanterar ni?

Undersök och sammanställ vilka personuppgifter ni samlar in och hanterar idag, samt till vem uppgifterna lämnas ut och varför.

Använder ni missbruksregeln idag?

I personuppgiftslagen (PUL) har det varit tillåtet att behandla personuppgifter i ostrukturerat material (t ex löpande text på Internet) så länge behandlingen inte utgör en kränkning av den registrerades integritet. Detta undantag kommer att försvinna i samband med GDPR, därför är det viktigt att se över hur ni har hanterat detta tidigare.

Vilken information lämnar ni vid insamling av personuppgifter?

GDPR innebär att ni behöver lämna information kring de personuppgifter ni samlar in, som t ex:

  • …varför samlar ni in uppgifterna?
  • …hur länge sparas uppgifterna?
  • …vilken rättslig grund har ni för att samla in uppgifterna?

Hur ska ni tillmötesgå dina kunders/användares rättigheter?

Era kunder/användare har en mängd rättigheter ni måste kunna uppfylla enligt GDPR.

De viktigaste är att de har rätten att…

  • …få tillgång till sina personuppgifter.
  • …få felaktiga personuppgifter rättade.
  • …få sina personuppgifter raderade.
  • …invända mot att personuppgifterna används för direktmarknadsföring.
  • …invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering.
  • …flytta personuppgifterna (dataportabilitet).

Behandlar ni personuppgifter utan rättslig grund?

Undersök med vilken rättslig grund ni behandlar personuppgifter, och radera alla uppgifter där ni inte har någon rättslig grund.

Med GDPR kommer krav att ni informerar om vilken rättslig grund respektive personuppgift samlas in för. Det innebär också att ni inte får använda personuppgifterna till annat än den/de rättsliga grunder ni angivit utan att få ett samtycke.

Det vill säga att även om kunden/användaren anger en e-postadress för att bli kund eller genomföra en beställning så får ni inte skicka marknadsföring till kunden via e-post om de inte uttryckligen godkänt marknadsföringsutskick.

Hur inhämtar ni samtycke?

Undersök på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av kunden/användaren.

Det får till exempel inte finnas tveksamheter om er kund/användare aktivt har godkänt behandlingen av personuppgifter. Till exempel är det inte godkänt med ett tyst samtycke eller en på förhand ikryssad ruta på en hemsida.

Behandlar ni personuppgifter om barn?

Genom GDPR införs ett starkare skydd för barns personuppgifter. Om ni t ex erbjuder Internettjänster till barn måste ni få vårdnadshavares samtycke för att få behandla barnets uppgifter.

Vad ska ni göra vid personuppgiftsincidenter?

Om ni blir utsatta för dataintrång eller på annat sätt förlorar kontrollen över de personuppgifter ni hanterar måste ni dokumentera händelsen och anmäla den till tillsynsmyndigheten inom 72 timmar. Skapa rutiner och bestäm vem som har ansvaret för att göra en sådan anmälan.

Vilka särskilda integritetsrisker finns med er personuppgiftsbehandling?

Om ni behandlar personuppgifter som kan innebära stora integritetsrisker, som till exempel lagring av känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats är kraven höga. Ni måste samråda med tillsynsmyndigheten innan den typen av personuppgiftsbehandling får påbörjas.

Har ni byggt in skydd för personuppgifter i era it-system?

Några grundläggande principer inom integritetsskydd är att…

  • …inte samla in mer information än vad som behövs.
  • …inte ha kvar informationen längre än nödvändigt.
  • …inte använda uppgifterna till något annat än vad syftet var när de samlades in.

Genom att ta hänsyn till dessa principer när ni utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationen att uppfylla reglerna i GDPR.

Ni ska även skydda personuppgifterna med lämpliga tekniska och organisatoriska åtgärder baserat på hur känsliga uppgifterna är och vad de ska användas till.

Vem ansvarar för dataskyddsfrågor i er organisation?

Bestäm vem som har ansvaret för dataskyddsfrågor på ert företag.

För vissa typer av organisationer krävs ett dataskyddsombud. Det gäller t ex organisationer som har en omfattande behandling av känsliga personuppgifter.

Har ni verksamhet i flera länder?

Om din organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

GDPR-reglerna kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sitt huvudkontor eller var beslut om personuppgiftsbehandling fattas.

Har ni personuppgiftsbeträdesavtal med de som behandlar personuppgifter på uppdrag av er?

Om ni använder en tjänst eller leverantör som behandlar era kunders personuppgifter på uppdrag av er är den leverantören ett så kallat personuppgiftsbiträde. Det innebär att de får behandla personuppgifterna enligt givna instruktioner och riktlinjer från er som personuppgiftsansvarig.

I de fall Loopia agerar personuppgiftsbiträde så regleras dina rättigheter och skyldigheter gentemot oss i vår avtalsbilaga Personuppgiftsbiträdesavtal. Till exempel om du driver en webshop hos Loopia där dina kunders beställningar lagras på våra servrar.

///

Bra länkar om GDPR (dataskyddsförordningen);

Uppdaterat 2018-05-03 av Idéplanket.
Källor: Svenska Datainspektionen, EU GDPR, Företagarna, Internetdagarna 2017 (Stuart Mendelson), Driva Eget, Loopia, avtal24 och Viva Media.

idéplanket GDPR

Peter Frandsen - Coach

// TEXT...

Rubrik…

Text…

Välkommen till idéplanket 😀

LÄS MER...
Share
Tweet
Share
Email