Viktiga GDPR-regler att fokusera på först

GDPR-regler kan vara svåra att förstå för små och medelstora företag som inte har en egen jurist. Vi har därför skapat en enkel översikt som enligt vår åsikt täcker de viktigaste reglerna i GDPR.

1. Ha översikt över vilka personuppgifter du behandlar.

Enligt artikel 30 i GDPR måste alla som behandlar personuppgifter dokumentera behandlingen i en protokoll, ofta kallad registerförteckning. Det finns ett undantag från kravet att föra protokoll för vissa typer av behandlingar för företag med färre än 250 anställda. Men detta undantag är snävt, och vi rekommenderar ändå alla att kontinuerligt ha koll på vilka personuppgifter man behandlar.

2. Säkerställ att du behandlar data lagligt.

För att kunna behandla personuppgifter måste du ha en rättslig grund. Enligt artikel 6 i GDPR definieras sex giltiga behandlingsgrunder, och en av dem måste uppfyllas för att behandlingen ska vara laglig. Några vanliga behandlingsgrunder är "nödvändiga för att uppfylla ett avtal", samtycke och berättigat intresse. Läs mer om behandlingsgrunder.

3. Se till att data är tillräckligt skyddade.

Systemen som lagrar och behandlar personuppgifter måste ha bra säkerhetsmekanismer. Vår erfarenhet är att den tekniska säkerheten vanligtvis är bra och att detta inte är något stort problem. I praktiken är de flesta problem med skydd av personuppgifter kopplade till åtkomstkontrollen, det vill säga att för många har för mycket åtkomst. Så se till att anställda bara har tillgång till vad de behöver för att göra sitt jobb. Ge aldrig åtkomst om någon eventuellt kommer att behöva den. En av de vanligaste orsakerna till böter från Integritetsskyddsmyndigheten är företag som kreditkollar personer utan giltigt skäl. I många av dessa fall har det visat sig att kreditkollen har utförts av en anställd som på egen hand har använt företagets system för att tillfredsställa sin egen nyfikenhet.

4. Informera användarna om dina behandlingar

Alla registrerade har rätt till information om hur deras personuppgifter behandlas. Detta informerar du om i en integritetspolicy. En integritetspolicy ska innehålla all information om vilka personuppgifter du behandlar, vilka behandlingar du utför samt syftet med dem. Du bör också ange vilka behandlingsgrunder du använder. Använd gärna vår integritetspolicy mall som utgångspunkt för att skriva din egen.

5. Se till att ha kontroll över underleverantörer

Som behandlingsansvarig är du ansvarig för att personuppgifter behandlas i enlighet med dataskyddsförordningen. De flesta företag använder sig av många underleverantörer för att lagra och behandla personuppgifter. Detta kan vara infrastruktursleverantörer som tillhandahåller servrar eller annan infrastruktur, eller betalningslösningar, e-postsystem, analyslösningar etc. För att ha kontroll över hur dina underleverantörer behandlar personuppgifterna på dina vägnar behöver du en databehandlingsavtal. Det är viktigt att du läser dessa avtal och förstår vad som står i dem, för till syvende och sist är det ditt företag som är ansvarigt för att behandlingen av personuppgifter är laglig.

6. Radera data som du inte använder

Vår erfarenhet är att många företag slarvar med lagringstid och raderingsrutiner. Det är farligt av många skäl. För det första är det olagligt, men för det andra exponerar det också företaget för en stor ekonomisk risk. Om företaget får en dataintrång som leder till att personuppgifter kommer på avvägar, kommer överträdelseavgiften sannolikt att vara mycket större om data som har kommit på avvägar skulle ha raderats. De berörda av ett dataintrång kan också kräva ersättning, och denna risk kommer naturligtvis att vara större om ett företag inte har raderat data om gamla kunder.