Prioritera rätt i ditt GDPR-arbete

På fre­dag bör­jar EU:s nya data­skydds­för­ord­ning – Gene­ral Data Pro­tec­tion Regu­la­tion (GDPR) att gäl­la. Då skall allt vara klart. Men så ser det ofta inte ut. Tvärtom kvar­står för många före­tag ett stort arbe­te innan de behand­lar per­son­upp­gif­ter på ett sätt som är för­en­ligt med den nya för­ord­ning­en. Nu gäl­ler det där­för att pri­o­ri­te­ra. I den­na arti­kel pra­tar jag om vil­ka prak­tis­ka anpass­ning­ar du bör star­ta med.

Våga anpassa verksamheten nu

Det kan vara svårt att veta exakt vil­ka per­son­upp­gif­ter som får behand­las eller hur länge des­sa upp­gif­ter får spa­ras efter den 25 maj. Tyvärr väl­jer många före­tag att fort­satt vän­ta med att vid­ta åtgär­der i syf­te att anpas­sa verk­sam­he­ten till GDPR – eller att inte vid­ta någ­ra åtgär­der alls.

Huvud­re­geln är att per­son­upp­gif­ter inte ska spa­ras läng­re än vad som är nöd­vän­digt för det spe­ci­fi­ka ända­må­let. I de fles­ta fall inne­bär det­ta att regis­ter behö­ver upp­da­te­ras och gall­ras åtminsto­ne årligen.

Du bör fun­de­ra på om per­son­upp­gif­ter av natu­ren ”nice to have” över­hu­vud­ta­get kan spa­ras efter den 25 maj. Jag rekom­men­de­rar även att ditt före­tag upp­rät­tar någ­ra av de vik­ti­gas­te styr­do­ku­men­ten för att en anpass­ning av verk­sam­he­ten ska kun­na ske i prak­ti­ken. Des­sa styr­do­ku­ment beskrivs nedan.

En dataskyddspolicy på din webbplats

GDPR stäl­ler nya och tuf­fa­re krav på att per­so­ner vars per­son­upp­gif­ter behand­las ska få klar och tyd­lig infor­ma­tion om hur och vil­ka upp­gif­ter som behandlas.

Dess­utom ökar omfatt­ning­en av den infor­ma­tion som ska ges till den enskil­de vid behand­ling av den­nes per­son­upp­gif­ter. För att på ett prak­tiskt sätt upp­fyl­la kra­ven kan det vara en god idé att ha en data­skydds­po­li­cy på sin webb­plats, att hän­vi­sa till vid exem­pel­vis marknadsföringsutskick.

En data­skydds­po­li­cy bör innehålla

• Kon­takt­upp­gif­ter till före­ta­get som behand­lar uppgifterna
• Kon­takt­upp­gif­ter till före­ta­gets data­skydds­om­bud om sådant finns
• Infor­ma­tion om ända­må­let med den spe­ci­fi­ka behandlingen
• Infor­ma­tion om hur länge före­ta­get ska spa­ra upp­gif­ter­na för det spe­ci­fi­ka ändamålet
• Infor­ma­tion om vil­ken rätts­lig grund som före­ta­get har för en spe­ci­fik behandling
• Infor­ma­tion om att per­son­upp­gif­ter­na över­förs till and­ra sam­ar­bets­part­ners eller leverantörer
• Infor­ma­tion om even­tu­ell över­fö­ring av per­son­upp­gif­ter till annat land

Internt styrdokument för behandlingen

För att upp­fyl­la de regi­stre­ra­des rät­tig­he­ter enligt GDPR samt de krav som finns på orga­ni­sa­to­ris­ka och tek­nis­ka skydds­ru­ti­ner bör det upp­rät­tas en intern poli­cy. Det är ock­så vik­tigt att per­so­nal utbil­das inom GDPR för att kun­na efter­le­va det inter­na styrdokumentet.

En intern poli­cy bör innehålla

• Ruti­ner för hur den regi­stre­ra­de som krä­ver utdrag av regis­ter­för­teck­ning (för­teck­ning över hur och var den regi­stre­ra­des upp­gif­ter behand­las) ska kun­na uppfyllas
• Ruti­ner för hur per­son­upp­gif­ter upp­da­te­ras och gallras
• Ruti­ner för hur inci­den­ter hanteras
• Ruti­ner för hur regi­stre­ra­de som utö­var rät­ten att bli ”glömd” eller rät­ten till data­por­ta­bi­li­tet ska behandlas.
• Mail­han­te­rings­ru­ti­ner för anställda
• Instruk­tio­ner avse­en­de tek­nis­ka skyddsåtgärder
• Instruk­tio­ner avse­en­de fysisk säkerhet

Tänk på att anpassningar ska ske löpande

Att anpas­sa en verk­sam­het till GDPR kom­mer att vara ett fort­lö­pan­de arbe­te. Poli­cys och ruti­ner ska upp­da­te­ras och utveck­las till­sam­mans med verk­sam­he­ten. Följ upp hur oli­ka ansvars­rol­ler fun­ge­rar och hur med­ar­be­ta­re har följt nya ruti­ner i
praktiken.

Det är även vik­tigt att föl­ja rätts­ut­veck­ling­en i prax­is och den väg­led­ning som pub­li­ce­ras av myn­dig­he­ter. Fort­sätt ditt arbe­te med mark­nads­fö­ring och låt GDPR bli en natur­lig del av det arbetet.