Prioritera rätt i ditt GDPR-arbete

Om du sovit och nu yrvaket vaknar upp och inser att du inte kommer att ha dina GDPR-bitar på plats den 25:e maj kanske den här artikeln av advokat Cecilia Torelm Tornberg kan komma till tröst. Läs den nu! 

Denna vecka skall allt vara klart…

På fredag börjar EU:s nya dataskyddsförordning – General Data Protection Regulation (GDPR) att gälla. Då skall allt vara klart. Men så ser det ofta inte ut. Tvärtom kvarstår för många företag ett stort arbete innan de behandlar personuppgifter på ett sätt som är förenligt med den nya förordningen. Nu gäller det därför att prioritera. I denna artikel pratar jag om vilka praktiska anpassningar du bör starta med.

Våga anpassa verksamheten nu

Det kan vara svårt att veta exakt vilka personuppgifter som får behandlas eller hur länge dessa uppgifter får sparas efter den 25 maj. Tyvärr väljer många företag att fortsatt vänta med att vidta åtgärder i syfte att anpassa verksamheten till GDPR – eller att inte vidta några åtgärder alls.

Huvudregeln är att personuppgifter inte ska sparas längre än vad som är nödvändigt för det specifika ändamålet. I de flesta fall innebär detta att register behöver uppdateras och gallras åtminstone årligen.

Du bör fundera på om personuppgifter av naturen ”nice to have” överhuvudtaget kan sparas efter den 25 maj. Jag rekommenderar även att ditt företag upprättar några av de viktigaste styrdokumenten för att en anpassning av verksamheten ska kunna ske i praktiken. Dessa styrdokument beskrivs nedan.

En dataskyddspolicy på din webbplats

GDPR ställer nya och tuffare krav på att personer vars personuppgifter behandlas ska få klar och tydlig information om hur och vilka uppgifter som behandlas.

Dessutom ökar omfattningen av den information som ska ges till den enskilde vid behandling av dennes personuppgifter. För att på ett praktiskt sätt uppfylla kraven kan det vara en god idé att ha en dataskyddspolicy på sin webbplats, att hänvisa till vid exempelvis marknadsföringsutskick.

En dataskyddspolicy bör innehålla

  • Kontaktuppgifter till företaget som behandlar uppgifterna
  • Kontaktuppgifter till företagets dataskyddsombud om sådant finns
  • Information om ändamålet med den specifika behandlingen
  • Information om hur länge företaget ska spara uppgifterna för det specifika ändamålet
  • Information om vilken rättslig grund som företaget har för en specifik behandling
  • Information om att personuppgifterna överförs till andra samarbetspartners eller leverantörer
  • Information om eventuell överföring av personuppgifter till annat land

Internt styrdokument för behandlingen

För att uppfylla de registrerades rättigheter enligt GDPR samt de krav som finns på organisatoriska och tekniska skyddsrutiner bör det upprättas en intern policy. Det är också viktigt att personal utbildas inom GDPR för att kunna efterleva det interna styrdokumentet.

En intern policy bör innehålla

  • Rutiner för hur den registrerade som kräver utdrag av registerförteckning (förteckning över hur och var den registrerades uppgifter behandlas) ska kunna uppfyllas
  • Rutiner för hur personuppgifter uppdateras och gallras
  • Rutiner för hur incidenter hanteras
  • Rutiner för hur registrerade som utövar rätten att bli ”glömd” eller rätten till dataportabilitet ska behandlas.
  • Mailhanteringsrutiner för anställda
  • Instruktioner avseende tekniska skyddsåtgärder
  • Instruktioner avseende fysisk säkerhet

Tänk på att anpassningar ska ske löpande

Att anpassa en verksamhet till GDPR kommer att vara ett fortlöpande arbete. Policys och rutiner ska uppdateras och utvecklas tillsammans med verksamheten. Följ upp hur olika ansvarsroller fungerar och hur medarbetare har följt nya rutiner i
praktiken.

Det är även viktigt att följa rättsutvecklingen i praxis och den vägledning som publiceras av myndigheter. Fortsätt ditt arbete med marknadsföring och låt GDPR bli en naturlig del av det arbetet.

Cecilia Torelm Tornberg

Författare: Cecilia Torelm Tornberg

Advokat Cecilia Torelm Tornberg är specialiserad på marknads- och immaterialrätt, avtalsrätt samt säljfrämjande åtgärder i Sverige och Norden. Verksam som processombud vid domstol och biträder vid förhandlingar med myndigheter och privata organ. Flitigt anlitad som föreläsare av Berghs School of Communication, universitet, högskolor, organisationer och företag.

Läs mer av Cecilia Torelm Tornberg

facilisis leo. tempus Praesent sem, efficitur. ut

Pin It on Pinterest