Lilla lathunden till GDPR

Den 25 maj träder den nya dataskyddsförordningen, GDPR, i kraft i hela EU. De uppdaterade villkoren för hantering av personuppgifter är både fler, strängare och kan vara svåra att hålla koll på. Vi har listat de viktigaste punkterna.

GDPR, General Data Protection Regulation, bygger vidare på dataskyddsdirektivet från 1995 (som fram tills nu har styrt personskyddet i Sverige) och innebär kort och gott att integritetsskyddet för individen stärks ytterligare och att kraven på hanteringen av personuppgifter blir mer omfattande.

Beroende på hur er organisation och ert sätt att hantera person- och kunduppgifter* ser ut kommer GDPR att påverka er på olika sätt.

Här är de största förändringarna som du bör ha koll på:

– Det blir strängare krav på företaget att på ett tydligt och lättbegripligt sätt informera individen om varför de behandlar dennes personuppgifter, vilka uppgifter det rör sig om och hur de hanteras.

– Individen har rätt att kräva ett utdrag på vilka personuppgifter som lagras samt hur dessa har använts. Hen har även rätt att kräva att uppgifterna raderas.

– Om ni som företag inte har rättsliga skäl till lagring och hantering, till exempel genom folkbokföring, anställningsavtal, leverantörsavtal och liknande, måste ni ha individens samtycke till hanteringen.

– Om företaget lagrar/behandlar uppgifter av “berättigade behov”, det vill säga ej rättsliga, måste ni kunna visa hur ni har resonerat för att bedöma behovet av att spara individens uppgifter.

– Företag är skyldiga att dokumentera hur de lagrar och hanterar personuppgifter samt på begäran spåra hur uppgifterna har använts och bevisa att rutinerna kring hanteringen följs.

– Det blir krav på att ha inbyggt dataskydd som standard, känsliga data ska alltid krypteras.

– Datainspektionen kan utfärda böter på upp till fyra procent av företagets årsomsättning, eller upp till 20 miljoner euro, om GDPR-reglerna inte följs.

– Reglerna för att få föra vidare data till tredje part skärps och ni måste kunna försäkra er om att eventuella samarbetspartners som tar del av personuppgifterna också följer GDPR.

* Personuppgifter definieras i det här fallet som allt som kan användas för att identifiera en person. Exempelvis kan det vara namn, personnummer, mejladress, fysisk eller digital adress (IP-adress), bilder, ljudupptagning osv.

Var börjar man?

Har du läst så här långt förstår du säkert varför det är viktigt att tänka efter när det kommer till vilka personer som har åtkomst till den här typen av data – både nu och framöver. Se till att ha en rejäl genomgång av vem som har ansvar för och åtkomst till vad på företaget och gör en analys av de uppgifter ni har i dag. Spara endast det som är nödvändigt och sätt upp rutiner för hur informationen ska säkras för att uppfylla GDPR-kraven.

Sist men inte minst: gör er hemläxa ordentligt när ni väljer samarbetspartners. Använd er av pålitliga och professionella leverantörer som kan bevisa att de kan hålla både era och era kunders personuppgifter säkrade.

Vill ni ha hjälp av en kunnig byrå? Kontakta oss gärna; hej@dazy.se eller 08-545 633 00.