Dags att se över hanteringen av personuppgifter

Den 25 maj 2018 börjar den nya Dataskyddsförordningen (GDPR) att gälla. Förordningen innehåller ett antal nya regler och företag som bryter mot reglerna riskerar böter på upp till fyra procent av omsättningen.

För enskilda personer kommer rättigheterna att stärkas, bland annat kommer det ställas hårdare krav på att företag och andra organisationer ska informera om hur de hanterar enskildas personuppgifter. Enskilda ska i vissa situationer även kunna säga nej till att en myndighet eller ett bolag använder ens personuppgifter. I Sverige kan man till exempel redan motsätta sig att ens personuppgifter används för att skicka direkt­reklam, men i den nya EU-förordningen utökas den rätten.

För bolag, myndigheter och andra organisationer som samlar in personuppgifter ställs det nya krav. Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste bolaget informera både de personer som uppgifterna gäller och Datainspektionen, om incidenten är allvarlig.

Det kan den vara om uppgifterna som läckt ut kan leda till att personer utsätts för till exempel diskriminering, id-stölder, bedrägeri eller finansiella förluster.

Om ett bolag har för avsikt att hantera personuppgifter på ett sätt som kan medföra stora integritetsrisker så måste bolaget först göra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter, en så kallad konsekvensbedömning avseende dataskydd. Skulle analysen visa att risken är hög, måste bolaget kontakta Datainspektionen som då ska göra en förhandskontroll för att säkerställa att sättet att samla in och hantera person uppgifter är lagligt.

Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner.

Checklista

  1. Kontrollera vilka personuppgifter som bolaget hanterar redan idag. Inventera och dokumentera.
  2. Gå igenom hur hanteringen av dessa personuppgifter ser ut.
  3. Kontrollera om det redan finns dokumentation kring hanteringen, samt hur denna ser ut.
  4. Identifiera vilka som hanterar personuppgifter och vem som har ansvaret.
  5. Se över vilka säkerhetsfunktioner som finns på plats, såväl för interna som externa problem. Se över vilket system ni behöver för registrering av personuppgifter.
  6. Vilket rättsligt stöd har ni? Kontrollera hur företagets skyldigheter ser ut.
  7. Se till att det finns dokumentation kring integritetspolicyn.
  8. Skapa rutiner för hur ni inhämtar samtycke.
  9. Se till att de dokument som beskriver hanteringen av personuppgifter är uppdaterade och kommunicerade till anställda.
  10. Utbilda bolagets anställda GDPR och ha en fasställd policy hur ni hanterar eventuella personsuppgiftsincidenter.
  11. Gå igenom och anpassa alla avtal som rör hantering av personuppgifter.