Den 25 maj 2018 blev GDPR verklighet och många företagare undrar fortfarande vad de måste göra. I den här artikeln får du svar på några av de vanligaste frågorna.
Varför infördes GDPR?
Ett syfte är att stärka skyddet för den personliga integriteten. Ett annat är att harmonisera lagstiftningen så att det blir en gemensam lagstiftning för företag inom EU, men även för att lagstiftningen behövde uppdateras i takt med den tekniska utvecklingen.
Påverkas alla företag av GDPR?
Kraven på dig som företagare blev högre med GDPR än med tidigare PUL-regler. Inte minst är det högre krav att informera om ändamålet med hanteringen och på ett uttryckligt samtycke från den vars personuppgifter företaget hanterar. En stor förändring var att höga sanktionsavgifter kan utdömas för ett bolag som inte följer GDPR.
Vilka är de viktigaste sakerna att tänka på?
Det handlar bland annat om att företaget ska ha kontroll på hur, var och varför man behandlar personuppgifter.
1. Dokumentera alla behandlingar
Dokumentera alla behandlingar av personuppgifter företaget gör så att ni kan visa att ni uppfyller kraven. Beskriv syftet med behandlingen, hur länge ni sparar uppgifterna och på vilken laglig grund ni behandlar uppgifterna.
2. Informera era kunder och andra.
Företaget har en skyldighet att informera kunder, leverantörer och andra om ni hanterar personuppgifter. Detta kan göras i en integritetspolicy som ska vara lättillgänglig och som kan publiceras på företagets hemsida. I policyn ska det framgå vilka personuppgifter företaget samlar in, vilket syftet är och hur länge informationen sparas.
3. Säkerställ rutiner
GDPR ställer krav på att företag ska kunna visa att uppgifter som samlats in antingen skett på laglig grund eller med ett uttryckligt samtycke.
De registrerade har flera rättigheter kring hanteringen av sina personuppgifter. Dels har de rätt att få tillgång till sina uppgifter och få dem rättade vid behov, dels i vissa fall raderade eller flyttade (kallas dataportabilitet). Det är naturligtvis viktigt att företaget har rutiner för detta.
Företaget bör också ha rutiner för hur man ska agera om en personuppgiftsincident inträffar (när någon obehörig fått tillgång till personuppgifterna).
4. Skriv Personuppgiftsbiträdesavtal
Om ni samarbetar med ett företag som behandlar personuppgifter för er räkning behöver ni upprätta ett personuppgiftsbiträdesavtal. Det kan till exempel vara ett företag som behandlar era löner, redovisning eller delar av er marknadsföring.
Ni kan inte delegera ansvaret till personuppgiftsbiträdet men med ett avtal säkerställer ni att ni är överens om alla villkor för behandlingen.
Enligt GDPR är det den personuppgiftsansvarige som ansvarar för att avtalet finns på plats.
