Din sista GDPR-checklista: Sakerna du måste ha gjort!
Den 25 maj 2018. Den nya lagen om hur företag får behandla personuppgifter, General Data Protection Regulation (GDPR), eller Dataskyddsförordningen på svenska, trädde i kraft. Hur du än vänder och vrider på det så är det två saker du måste skaffa sig: Kunskap och överblick. Här är artikeln som berättar vad du behöver göra – och ett förslag på i vilken ordning.
Omvärldsbevakning > GDPR checklista
Enligt en undersökning från Visma som genomfördes i mars 2018 var det bara fyra av tio småföretagare som hade satt sig in i GDPR. Har du inte gjort det tidigare så är det nu hög tid att börja se över dina rutiner. Så här kan du lägga upp arbetet:
Första uppgiften
Kom igång: Utse en ansvarig och läs på
Utse en person som är ansvarig för att anpassa företaget till GDPR. Den personen ska snabbt läsa på om lagen och kraven på ert företag. Här kommer tre bra läxor:
•Verksamt.se: Läs på och gör guiden.
•Datainspektionen är myndigheten med information.
•Läs artikeln ”Det viktiga avtalet” om personuppgiftsbiträdesavtal på vår sida om GDPR.
Under läsningen så anteckna alla tankar som kommer upp om hur det fungerar i ert företag. Då kommer nästa uppgift, kartläggningen, att gå lättare.
Börja på en lista över de underleverantörer som ni behöver teckna biträdesavtal med. Ge någon uppgiften att se till att alla avtal ni behöver finns på plats. En del kanske redan finns på plats. Om ni använder produkter och tjänster från Visma Spcs så finns biträdesavtal som en del av tjänsteavtalet där det behövs.
Andra uppgiften
Kartlägg: Hitta alla personuppgifter
All behandling av personuppgifter måste följa GDPR. Då gäller det att veta:
•Vilka personuppgifter har vi?
•Vad gör vi med dem?
•Vilken laglig rätt stödjer vi oss på vid olika behandlingar?
•Vem har tillgång till personuppgifterna?
•När raderar vi dem?
Rita gärna en karta över olika flöden. Det är viktigt att ha koll på var de kommer in och hur de rör sig inom företaget. Kanske delar ni personuppgifter med andra. Om ni hyr en server eller en molntjänst och behandlar uppgifterna där så har de faktiskt lämnat ert företag. Se till att den som ansvarar för biträdesavtal känner till alla underleverantörer ni hittar under kartläggningen.
Tänk också på att om ni delar system inom en koncern så stannar ansvaret hos ert företag, dvs det organisationsnummer som samlat in uppgifterna.
Skriv ner rutiner för radering om ni inte redan har dem på plats. Tiden är kort och det finns mycket att tänka igenom när man bestämmer sådana saker. En dokumentation som visar att ni har påbörjat arbetet, kanske i form av mötesanteckningar, visar att ni tar ert ansvar på allvar om Datainspektionen knackar på dörren. När kartan klarnar så blir den underlag till den registerförteckning som ska finnas.
Tredje uppgiften
Policy: Beskriv vad ni vill och hur ni tänker göra
Ni behöver ha en dataskyddspolicy. Eller kanske två. En extern som vänder sig mot kunder och omvärlden och en intern om ni har anställda. Det är inte så tråkigt som det låter utan man kan beskriva med vanligt språk vad man gör med personuppgifter man har, hur man skyddar dem och vem man kan vända sig till med frågor. Så här står det i lagen:
”Öppenhetsprincipen kräver att all information som riktar sig till allmänheten eller till registrerade är kortfattad, lättåtkomlig och lättbegriplig samt utformad på ett tydligt och enkelt språk samt att man vid behov använder visualisering.”
Kort sagt, rita och berätta så folk fattar.
Efter kartläggningen vet ni ju lite om hur ni gör. Sök på internet och titta hur andra har gjort. Om ni har speciella krav i er bransch så kan ni se hur kollegor och konkurrenter har gjort.
En dataskyddspolicy ska vara det dokument som ni kan hänvisa alla intresserade till och där era blivande kunder kan avgöra om de vågar göra affärer med er.
Fjärde uppgiften
Se skyddet: Bygg kultur och börja städa
GDPR är en lag som vill skydda dig och mig som individer. Om vi tycker att det är knöligt att anpassa vår verksamhet till de nya reglerna så kan det vara ett tecken på att vi faktiskt varit dåliga på att skydda personuppgifter, att skydda sådana som dig och mig. Vi behöver alltså ändra oss och det är bland det svåraste som finns.
Vi måste bygga en ny kultur och för det behövs medvetenhet och kunskap. Hur mycket kan olika människor i er verksamhet? Vad vet de om de nya reglerna? Det är dags för den som är ansvarig och har läst på att dela med sig av sin kunskap. Nu behöver alla hjälpas åt att hitta rutiner som kan förbättras. Hur är det med ringlistor, deltagarlistor och andra dokument, troligen Excel? Finns det gamla kopior på den egna datordisken? Finns det massor av gamla bifogade filer i e-posten?
Det gör det med stor sannolikhet och nu är det dags för var och en att börja städa. Kanske behöver man göra det i flera steg, t ex först raderar var och en det de är säkra på är gammal kökkenmödding och sedan diskuterar man den vidare rensningen tillsammans. Det ska ju inte försvinna sådant som är nödvändigt för verksamheten. Men företaget ansvarar för att man bara behandlar uppgifter som är nödvändiga för de syften man sagt och därefter raderar dem. Det betyder också att onödiga kopior av uppgifter man får behandla ska bort.
Ta vara på tips och erfarenheter från rensningsarbetet och utveckla behandlingsrutiner som man följer i den framtida verksamheten och städrutiner man går igenom t ex varje kvartal.
Femte uppgiften
Informera mera: Gör det så alla förstår
I kartläggningen fann du de platser där ni samlar in information. I en webbutik, vid telefonorder, i en butikslokal, på mässor och hundra andra möjliga ställen. Nu är det dags att se till att det finns korrekt information som följer lagens ganska omfattande krav.
Du ska bland annat informera om:
•Vem du är
•Syfte, det vill säga vad du ska ha uppgifterna till
•Vilken rättslig grund du stödjer dig på
•När du kommer att ta bort uppgifterna
•Om du tänker dela med någon och om du delar med någon utanför EU/EES. (T ex Google, Microsoft)
•Vilka rättigheter den registrerade har
•Lite annat smått och gott. Du hittar den kompletta listan över informationskrav i artikel 13.
När det är möjligt så ska informationen lämnas innan man samlar in uppgifterna. Om det inte är möjligt så ska man göra det så snart som möjligt, senast vid första kontakttillfället.
I praktiken är det ganska enkelt. Beställer man via företagets sidor på internet så ska informationen finnas där. Om man beställer via post eller telefon så kan man skicka med informationen med orderbekräftelsen, fakturan eller leveransen. Om man har en enkel verksamhet och en bra dataskyddspolicy så kanske allt redan är på plats.
Sjätte uppgiften
Dokumentera: Samla bevis
Nu är vi inne i sista veckan. Det finns säkert en att-göra-lista med en del saker kvar att bocka av men nu har ni troligtvis en ganska bra bild av er hantering av personuppgifter. Om ni hunnit följa råden sedan tidigare har ni också en hel del dokumentation. Denna sista vecka är uppgiften att dokumentera och sammanställa så att ni kan visa hur bra koll ni har. Dessutom pockar ju den där att-göra-listan på uppmärksamhet.
Tänk på att det inte måste vara tjusiga protokoll utan just dokumentation. Ni behöver visa att ni tar GDPR seriöst och har tänkt igenom hur ni tillmötesgår lagkraven i er verksamhet. Tänk också på att en policy är en form av dokumentation så det går ibland att slå två flugor i en smäll.
Vill du veta mer? Kolla in vår sida om GDPR