7 steg mot GDPR-anpassning

Hög tid att anpassa företaget till den nya allmänna dataskyddsförordningen (GDPR)

Den 18 maj 2018 ersätts den svenska personuppgiftslagen (PUL) av en ny dataskyddsförordning som röstades igenom i Europaparlamentet och EU:s ministerråd redan i april 2016. Förordningen har tagits fram i syfte att modernisera och standardisera lagstiftningen kring personuppgiftshantering inom EU. Företag som inte följer den nya förordningen, små som stora, riskerar att få betala sanktionsavgifter på upp till 4 % av den globala årsomsättningen. Det kan med andra ord bli ganska kostsamt att inte göra rätt.

Det finns likheter mellan PUL och GDPR, men även många viktiga skillnader. Framför allt kommer den nya förordningen att innebära betydligt större skyldigheter till transparens. Företag måste hålla utförliga och aktuella register över exakt vilken information som samlas in, samt på begäran måste de även kunna lämna ut och/eller radera alla insamlade uppgifter. De befintliga reglerna för samtycke kommer också att förändras.

Sju viktiga steg mot en GDPR-anpassning

Här följer några konkreta tips på vad som kan behöva ses över innan den nya förordningen ersätter den gamla till våren 2018:

1) Gå igenom och dokumentera hur behandlingen av personuppgifter ser ut. Dokumentera vilka kategorier av personuppgifter som behandlas, hur uppgifterna samlas in, vad uppgifterna används till samt om uppgifterna lämnas ut till någon.

2) Se med hjälp av en affärsjurist över vilken rättslig grund som tillåter behandlingen och hur länge uppgiften får sparas. Om behandlingen kräver samtycke bör det kontrolleras att den registrerade får all information som krävs enligt den nya förordningen samt att samtycket uppfyller förordningens krav.

3) Kontrollera eventuella behov av att uppdatera IT-struktur och säkerhet.

4) Upprätta rutiner och policies för hanteringen av de registrerades rättigheter – som bland annat innefattar rätten och möjligheten att få ta del av registerutdrag och/eller att få uppgifter raderade.

5) Utbilda alla medarbetare.

6) Gå igenom och anpassa samtliga avtal som på något sätt berör personuppgiftsbehandling.

7) Beroende på verksamheter och geografiska marknader för företaget, gör en behovsanalys samt planera och allokera tid och resurser för eventuella översättningar av samtlig ny eller uppdaterad dokumentation (avtal, policies, m.m.). Att upprätta ett samarbete med en seriös översättningsbyrå kan vara till viktig och värdefull hjälp här. Läs gärna mer om Comactivas översättningar och språktjänster här.

Den här listan utgör några exempel på vad som kommer att behöva uppmärksammas och eventuellt åtgärdas. Mer information hittar du på Datainspektionens hemsida.