Runt år 2018-2019 så pratades det mycket om GDPR i samband med att EU-lagstiftningen infördes, men inte nu längre och risken är att man med tiden glömt av den trots att den faktiskt är viktig att efterleva. För att hjälpa er att utvärdera ert nuläge så har vi tagit fram en checklista.
Vad är GDPR?
GDPR, eller General Data Protection Regulation, är en EU-förordning som reglerar hur företag och organisationer får samla in, använda och lagra personuppgifter. Syftet med GDPR är att skydda individers integritet och rättigheter.
Om vi bryter mot reglerna så att personuppgifter behandlas felaktigt eller hamnar i orätta händer kan det leda till höga böter. Därför är det viktigt att du förstår de regler och bestämmelser som gäller för behandling av personuppgifter.
Vad är personuppgifter?
All information som direkt eller indirekt kan kopplas till en person räknas till personuppgifter. Exempel är epost, namn, telefonnummer, adresser och känslig information såsom hälsouppgifter.
Det spelar ingen roll om uppgifterna är lagrade på en dator, mobil eller papper.
Observera också att information som var för sig inte avslöjar något men som tillsammans kan leda till en person, också räknas som personuppgifter.
Att behandla personuppgifter
"Behandling av personuppgifter" omfattar registrering, lagring, ändring, läsning och distribution av uppgifter. De måste skyddas inom organisationen och ska inte avslöjas eller exponeras i miljöer där obehöriga kan komma över dem (t.ex. genom att lyssna på eller se information).
Syfte och samtycke
Företag måste få explicit samtycke från individer för att behandla deras personuppgifter och det måste finnas rättsliga grunder för att lagra informationen. Du får alltså inte samla in uppgifter utan att fråga och det måste framgå vilka uppgifter du samlar in och vad de kommer att användas till.
Personuppgifter ska endast användas för de ändamål som de har samlats in, eller i enlighet med vad uppgiftslämnaren har godkänt.
Individens rättigheter
Individer har rätt att få tillgång till sina uppgifter, korrigera felaktigheter och kräva att uppgifterna raderas.
Checklista
Kontrollera att ni genomfört och dokumenterat enligt punkterna nedan så har ni kommit en bra bit på vägen!
✅ Identifiera och dokumentera alla typer av personuppgifter som samlas in.
✅ Kartlägg var dessa data lagras (digitalt och fysiskt).
✅ Förstå hur dessa data används och av vilka avdelningar.
✅ Identifiera ev behandlingar som innebär hög risk och utför en DPIA (Data Protection Impact Assessment)
✅ Säkerställ att det finns rättslig grund för lagring av dessa personuppgifter.
✅ Säkerställ att uppgifterna skyddas och rensas på ett rimligt sätt.
✅ Bokför informationen ovan i ert GDPR-register (kräver en viss struktur men kan hanteras i olika system, t.ex. i AmpliFlow eller SharePoint, det viktigaste är att ni har koll och kan redovisa informationen).
✅ Utse dataskyddsombud.
✅ Identifiera ev behandlingar som innebär hög risk och utför DPIA* (Data Protection Impact Assessment).
✅ För in kontrollpunkt vid införande av nya system, för införande av dessa i GDPR-register.
✅ Schemalägg årlig granskning av GDPR-rutiner.
✅ Säkerställ att ni har grundläggande utbildningsmaterial kring GDPR.
✅ Tillse att alla anställda har grundförståelse för GDPR.
✅ Förbered och utbilda personal i er hantering av incidenter.
✅ För in rutiner kring GDPR i onboarding-processen för ny personal.
✅ För in kontrollpunkt vid offboarding av personal - behöver dataskyddsombud bytas?
✅ Säkerställ rutiner för rensning av personuppgifter.
Ta nästa steg med Cognit
Vi vet att det är krångligt och ineffektivt att uppfinna GDPR-register, incidenthantering och säkerställa att rutiner följs. Därför erbjuder vi lätthanterat stöd för dessa områden med hjälp av Office 365 och www.ampliflow.se. Om du vill skapa en digital arbetsplats med tydlig struktur och enkelhet för rutiner, har Cognit lösningen för dig.
Besök vår webbplats på www.cognit.se för att utforska vårt erbjudande ytterligare. Låt oss tillsammans skapa en digital arbetsplats som inte bara uppfyller dina behov idag, utan även är redo för framtidens utmaningar.
* En DPIA (Data Protection Impact Assessment) är en process för att identifiera och minska risker för privatlivet vid behandling av personuppgifter. DPIA är ett krav enligt GDPR för behandlingar som tros innebära hög risk för de registrerades rättigheter och friheter. Den omfattar riskbedömning, identifiering av åtgärder för riskminskning och dokumentation. DPIA är en löpande process som ska integreras i projektets livscykel. Läs mer hos Integritetsskyddsmyndigheten