Dataskyddsförordningen
– en guide i korta drag

Det viktigaste som du måste tänka på är att komma ihåg att det är en mänsklig rättighet för varje individ att veta vad som händer med dennes personuppgifter. Därför är det otroligt viktigt att du är TRANSPARENT gentemot individen i vad och varför du vill använda personuppgifterna till. Ställ dig därför följande fråga:

Vad står det i vår integritetspolicy och vilken information lämnar vi till individen när vi samlar in personuppgifter?

  • Se över vilka uppgifter vi samlar in.
  • Informera om allt vi vill göra med uppgifterna på ett sätt som är begripligt.
  • Rubriksätt de allmänna reglerna och lyft fram personuppgiftsdelen.
  • Skriv om integritetspolicyn till ”enkel” svenska.
  • Informera om individens rättigheter.
  • Informera individen om vilken rättslig grund vi vill hävda för behandlingen.
  • Informera vilka andra som kan komma att behandla uppgifterna.
  • Informera om vilken bransch företagen finns som vi kan tänka oss att dela med oss av individens personuppgifter till.

 

Det är också viktigt att fundera på hur ni i företaget arbetar med personuppgifter. Förordningen kräver att det blir ordning och reda i det arbetet. Därmed är det nu hög tid att se över hur företaget arbetar internt med uppgifterna.

Har vi fullständig kontroll över hur och vem som behandlar personuppgifter i företaget?

  • Vilken rättslig grund använder vi för behandling av personuppgifter?
  • Om vi använder oss av samtycke ska det samlas in på rätt sätt.
  • Se till att använda så få personuppgifter som möjligt.
  • Ta bort alla uppgifter som vi verkligen inte behöver.
  • Se till att vii har rätt att göra de profileringar (segmenteringar eller selekteringar) som vi gör.
  • Se till att alla vet vem som är företagets dataskyddsombud.
  • Ge dataskyddsombudet möjligheter att göra sitt jobb.
  • Säkerställ att endast de som verkligen behöver tillgång till personuppgifterna är de som får till gång till dem.
  • Utbilda personalen så att de vet vad som anses vara en personuppgift.
  • Speciella åtgärder finns för att säkerställa att barns personuppgifter behandlas på rätt sätt.
  • Skicka inte iväg personuppgifter till molnet/tredje land om det inte är säkerställt att man får.

 

Slutligen är det också viktigt att gå igenom hela processen kring användningen av personuppgifter ur ett tekniskt perspektiv. Förordningen har vid många tillfällen pekat på att det inte räcker med bara det som anses vara rimligt, utan att man även måste se till vad som är tekniskt möjligt. Detta innebär att man inom företaget måste se till att mjuk- och hårdvaran är uppdaterad.

Hur arbetar vi inom företaget rent tekniskt med personuppgifter?

  • Se till att vi har ett uppdaterat säkerhetssystem kring databasen.
  • Använd gärna pseudonymisering av databasen för att minska risken för otillåten behandling.
  • Kontrollera var vi sparar personuppgifterna rent fysiskt.
  • Gå igenom vilka integritetsrisker det finns vid behandlingen av personuppgifter.
  • Se till att det finns uppdaterade säkerhetskopior.
  • Se till att lägga in kontroller vid utvecklingen av nya system som tar upp frågan om behandling av personuppgifter. Involvera dataskyddsombudet tidigt i processen.
  • Ta fram rutiner för hur man inom företaget ska agera om en personuppgiftsincident sker.
  • Uppdatera programvaran med jämna mellanrum.
  • Se till att det är svårt att exportera personuppgifter till andra, icke godkända, system.