Påverkar GDPR ditt företag? Checklista för att påbörja anpassningen

Det är lätt att underskatta den nya EU-förordningens genomslag. Syftet med GDPR är att modernisera lagstiftningen för behandlandet av personuppgifter och anpassa den till vår nya digitala verklighet – som ofta kryllar av personuppgifter. Bara genom att skrapa lite på ytan på sin verksamhets dataflöden, så upptäcker nog många att det är dags att sätta igång på allvar. Här ger vi dig de första tipsen på vad du kan göra för att påbörja anpassningen.
Lagar & regler > Påverkar GDPR din verksamhet?
Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.
“Gäller det verkligen mig?”
Den nya personuppgiftslagen, GDPR, berör alla verksamheter. Undantag görs nästan bara för när man behandlar uppgifter för syften av ren privat natur, till exempel har en kontaktlista i sin telefon.
En snabbtitt i juridiken är på sin plats. Lagtext ur artikel 2:
"1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register."
“6. register : en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”
Visst är det solklart? Eller inte.
Ett register kan man beskriva som en samling uppgifter som är lagrade så att man snabbt kan hitta uppgifter även om det är en stor samling. När gamla lagen skrevs på 90-talet så syftade ordet register på ett särskilt registerprogram på datorn, en databas. Idag kan man söka igenom hela hårddisken och alla de eventuella molntjänster man använder. Därför kan idag alla uppgifter man lagrar digitalt definieras som register. Det är detta som den nya lagen försöker ta höjd för.
“Var ska jag börja?”
Inventera
För att skapa en överblick, är det bra att börja med att kartlägga vilka personuppgifter du har i verksamheten. Tänk på att det inte bara gäller dataregister utan också uppgifter på papper, i e-postprogrammet och i filer på hårddisken.
Kategorisera
Vilkas personuppgifter är det ni behandlar? Kunder? Anställda? Leads? Okända som kontaktar er via e-post? Vilka kategorier av registrerade har ni?
Specificera syften
När du väl vet vilka uppgifter din verksamhet har på olika ställen så behöver ni tala om varför ni har dem. Man ska dokumentera för vilka syften de olika personuppgifterna behandlas.
Exempel på vad du kan förväntas hitta
- Kunder i kundregistret. Namn, adress, telefon, e-post, personnummer, anteckningar. Syften är att få statistik från programmet; Att det ska vara enkelt att fakturera om de återkommer.
- Anställda i löneprogrammet. Namn, kontaktuppgifter, personnummer, lön, frånvaro osv. Syftet är att kunna betala ut lön enligt anställningsavtalet.
- Leads i CRM-system och olika listor eller ”excelfiler”. Namn, kontaktuppgifter, anteckningar. Syfte: Marknadsföring genom utskick via post och e-post samt försäljningssamtal via telefon.
- Kontaktregister i e-postsystemet. Namn, kontaktuppgifter. Syfte: Att underlätta kontakt. Ingår i systemet.
Låt oss stoppa där. Du har kanske mer på din lista. För du har väl en lista? Minns att dokumentation är A och O eftersom du ska kunna bevisa att du har koll.
Vad vill du behålla?
Just nu rör vi oss på en översiktlig nivå. Vi vet vad vi har. Vi vet varför. Vi vet ännu inte något om vad lagen säger, om vi får behandla alla de här uppgifterna. Men en fråga har vi svaret på: Vilka uppgifter vill vi behålla?
Dags alltså att städa undan det andra. Gamla uppgifter som ligger och skräpar. Mycket nöje!
Om du har sådan ordning att du inte vill rensa undan något så är du klar för nästa steg.
Nästa steg: Vad behöver du göra?
Vill du veta mer? Kika på vår samlingssida om GDPR