EU:s dataskyddsförordning (GDPR) har till syfte att stärka skyddet för den enskildes personuppgifter och att harmonisera den nationella lagstiftning som idag finns inom det här området. Samma regler och principer ska helt enkelt gälla i hela EU för att underlätta för företag att bedriva verksamhet i flera länder på lika villkor. I Sverige har vi sedan tidigare Personuppgiftslagen (PuL) som i och med att dataskyddsförordningen träder i kraft som lag den 25:e maj 2018 upphör att gälla.
Har man som företag följt reglerna i PuL till punkt och pricka blir omställningen till GDPR inte så dramatisk. Exakt hur dataskyddsförordningen kommer att tolkas vet vi fortfarande inte, precis som med annan lagstiftning så behövs det praxis innan tolkningen av lagen blir tydlig. Redan nu är det dock hög tid att börja förbereda sig!
Första steget är att sätta sig in i de mest grundläggande principerna i dataskyddsförordningen, det underlättar att ha en aning om hur det fungerar innan man inventerar sitt nuläge. Varje företag är unikt, det finns inga generella lösningar eller mallar men ibland kan branschorganisationer ge viss vägledning.
Det förmodligen viktigaste steget är att inventera hur det faktiskt ser ut i nuläget. Vilka personuppgifter hanterar vi och i vilket syfte? I vilka processer förekommer personuppgiftshantering? Hanterar vi några känsliga personuppgifter? Hur länge sparar vi personuppgifterna? Hur sker gallring? Vem behandlar personuppgifterna? Lämnar vi ut några personuppgifter till någon annan?
Resultatet av inventeringen behöver dokumenteras på ett strukturerat sätt. Vissa företag behöver upprätta en registerförteckning, andra inte – vår rekommendation är dock att man gör det oavsett om man verkligen är tvungen eller inte. Processerna där personuppgiftshantering sker behöver också vara dokumenterade.
Nu är det dags att analysera hur den personuppgiftshantering företaget har idag förhåller sig till den kommande lagstiftningen. Att mappa in alla personuppgifter som hanteras mot de sex rättsliga grunder som finns för personuppgiftshantering i dataskyddsförordningen är en viktig uppgift. Behövs samtycke för någon personuppgift som hanteras? Hämtar vi in onödiga personuppgifter för att vi tycker att de kan vara bra att ha i framtiden? Har vi processer för att hantera att någon vill bli bortglömd? Hur rättas en felaktig personuppgift?
När du har arbetat dig igenom punkterna ovan så har du med all sannolikhet upptäckt att det finns brister och avvikelser i er personuppgiftshantering – nu är det dags att åtgärda dem! Kanske behöver ni till exempel formulera ett korrekt samtycke för viss personuppgiftshantering?
Tycker du att det här verkar krångligt? Lugn, vi hjälper dig med hela eller delar av arbetet som behöver göras för att uppfylla kraven i dataskyddsförordningen!
© Janslund Services AB | Designen bygger på en mall från TEMPLATED