Prioritera rätt i ditt GDPR-arbete

Om du sovit och nu yrvaket vaknar upp och inser att du inte kommer att ha dina GDPR-bitar på plats den 25:e maj kanske den här artikeln av advokat Cecilia Torelm Tornberg kan komma till tröst. Läs den nu! 

På fre­dag bör­jar EU:s nya data­skydds­för­ord­ning – General Data Protection Regulation (GDPR) att gäl­la. Då skall allt vara klart. Men så ser det ofta inte ut. Tvärtom kvar­står för många före­tag ett stort arbe­te innan de behand­lar per­son­upp­gif­ter på ett sätt som är för­en­ligt med den nya för­ord­ning­en. Nu gäl­ler det där­för att pri­o­ri­te­ra. I den­na arti­kel pra­tar jag om vil­ka prak­tis­ka anpass­ning­ar du bör star­ta med.

Våga anpassa verksamheten nu

Det kan vara svårt att veta exakt vil­ka per­son­upp­gif­ter som får behand­las eller hur länge des­sa upp­gif­ter får spa­ras efter den 25 maj. Tyvärr väl­jer många före­tag att fort­satt vän­ta med att vid­ta åtgär­der i syf­te att anpas­sa verk­sam­he­ten till GDPR – eller att inte vid­ta någ­ra åtgär­der alls.

Huvudregeln är att per­son­upp­gif­ter inte ska spa­ras läng­re än vad som är nöd­vän­digt för det spe­ci­fi­ka ända­må­let. I de fles­ta fall inne­bär det­ta att regis­ter behö­ver upp­da­te­ras och gall­ras åtminsto­ne årli­gen.

Du bör fun­de­ra på om per­son­upp­gif­ter av natu­ren ”nice to have” över­hu­vud­ta­get kan spa­ras efter den 25 maj. Jag rekom­men­de­rar även att ditt före­tag upp­rät­tar någ­ra av de vik­ti­gas­te styr­do­ku­men­ten för att en anpass­ning av verk­sam­he­ten ska kun­na ske i prak­ti­ken. Dessa styr­do­ku­ment beskrivs nedan.

En dataskyddspolicy på din webbplats

GDPR stäl­ler nya och tuf­fa­re krav på att per­so­ner vars per­son­upp­gif­ter behand­las ska få klar och tyd­lig infor­ma­tion om hur och vil­ka upp­gif­ter som behand­las.

Dessutom ökar omfatt­ning­en av den infor­ma­tion som ska ges till den enskil­de vid behand­ling av den­nes per­son­upp­gif­ter. För att på ett prak­tiskt sätt upp­fyl­la kra­ven kan det vara en god idé att ha en data­skydds­po­li­cy på sin webb­plats, att hän­vi­sa till vid exem­pel­vis mark­nads­fö­rings­ut­skick.

En data­skydds­po­li­cy bör inne­hål­la

  • Kontaktuppgifter till före­ta­get som behand­lar upp­gif­ter­na
  • Kontaktuppgifter till före­ta­gets data­skydds­om­bud om sådant finns
  • Information om ända­må­let med den spe­ci­fi­ka behand­ling­en
  • Information om hur länge före­ta­get ska spa­ra upp­gif­ter­na för det spe­ci­fi­ka ända­må­let
  • Information om vil­ken rätts­lig grund som före­ta­get har för en spe­ci­fik behand­ling
  • Information om att per­son­upp­gif­ter­na över­förs till and­ra sam­ar­bets­part­ners eller leve­ran­tö­rer
  • Information om even­tu­ell över­fö­ring av per­son­upp­gif­ter till annat land

Internt styrdokument för behandlingen

För att upp­fyl­la de regi­stre­ra­des rät­tig­he­ter enligt GDPR samt de krav som finns på orga­ni­sa­to­ris­ka och tek­nis­ka skydds­ru­ti­ner bör det upp­rät­tas en intern poli­cy. Det är ock­så vik­tigt att per­so­nal utbil­das inom GDPR för att kun­na efter­le­va det inter­na styr­do­ku­men­tet.

En intern poli­cy bör inne­hål­la

  • Rutiner för hur den regi­stre­ra­de som krä­ver utdrag av regis­ter­för­teck­ning (för­teck­ning över hur och var den regi­stre­ra­des upp­gif­ter behand­las) ska kun­na upp­fyl­las
  • Rutiner för hur per­son­upp­gif­ter upp­da­te­ras och gall­ras
  • Rutiner för hur inci­den­ter han­te­ras
  • Rutiner för hur regi­stre­ra­de som utö­var rät­ten att bli ”glömd” eller rät­ten till data­por­ta­bi­li­tet ska behand­las.
  • Mailhanteringsrutiner för anställ­da
  • Instruktioner avse­en­de tek­nis­ka skydds­åt­gär­der
  • Instruktioner avse­en­de fysisk säker­het

Tänk på att anpassningar ska ske löpande

Att anpas­sa en verk­sam­het till GDPR kom­mer att vara ett fort­lö­pan­de arbe­te. Policys och ruti­ner ska upp­da­te­ras och utveck­las till­sam­mans med verk­sam­he­ten. Följ upp hur oli­ka ansvars­rol­ler fun­ge­rar och hur med­ar­be­ta­re har följt nya ruti­ner i
prak­ti­ken.

Det är även vik­tigt att föl­ja rätts­ut­veck­ling­en i prax­is och den väg­led­ning som pub­li­ce­ras av myn­dig­he­ter. Fortsätt ditt arbe­te med mark­nads­fö­ring och låt GDPR bli en natur­lig del av det arbe­tet.

Dela artikeln om du gillade den!

Förslag på mer läsning

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bilder, färg och form kan bli verk­tyg även i din kre­a­ti­va verk­tygs­lå­da.

Läs artikel »

Om jag var i Almedalen …

Att Almedalen blir allt vik­ti­ga­re för kom­mu­nik­tions­bran­schen är de fles­ta över­ens om. Men i en djung­el av pro­gram­punk­ter kan det vara svårt att sål­la agnar­na från vetet. Här kom­mer hjälp på vägen! Martin Modigh Karlsson har gjort grov­job­bet och lis­tar sina bäs­ta tips i dagens krö­ni­ka. För dig som ska dit och för dig som tar del av pro­gram­met i efter­hand.

Läs artikel »

Detta gäller vid marknadsföring av din arbetsgivare på sociala medier

Publicerar du inlägg om din arbets­gi­vares verk­sam­het i soci­a­la medi­er? Då kan du behö­va vara för­sik­tig så att du inte fälls för vil­se­le­dan­de mark­nads­fö­ring. Ta reda på vad som gäl­ler genom att läsa den­na arti­kel skri­ven av Tobias Bratt, biträ­dan­de jurist på Wistrand Advokatbyrå.

Läs artikel »

Ursäkta röran. Vi har byggt om.

För ovan­lig­he­tens skull pra­tar vi om oss själ­va. Vi vill berät­ta att vi från och med nu är en con­tent­by­rå som gör con­tent. Men vi gör det på ett annorlun­da sätt än and­ra con­tent­by­rå­er. Vi har ock­så en ny digi­tal platt­form som ska slå Hubspot på fing­rar­na. Och vi har gjort lego av vårt stra­te­gi-erbju­dan­de. Dessutom har vi en mas­sa nya med­ar­be­ta­re, och söker ännu fler. I den­na krö­ni­ka berät­tar Thomas Barregren om allt det­ta och lite till.

Läs artikel »

Därför ska du ha egen plattform

Det är fres­tan­de att använ­da LinkedIn, Facebook eller någon annan platt­form som din mål­grupp redan använ­der. Med deras annons­lös­ning­ar (”spons­ra­de inlägg”) kan du snabbt nå ut till din mål­grupp. Dessutom är de lät­ta att använ­da. Men det finns pro­blem. Du läg­ger din fram­gång som mark­nads­fö­ra­re och säl­ja­re i hän­der­na på bolag som han en annan agen­da än ditt bäs­ta. Du kon­trol­le­rar inte vem som ser vad och när. Du har inte till­gång till de vär­de­ful­la digi­ta­la fot­spår som din mål­grupp läm­nar efter sig. Därför behö­ver du en egen platt­form.

Läs artikel »

Därför jobbar vi annorlunda

Vi job­bar på ett annorlun­da sätt. Våra kon­sul­ter arbe­tar i ditt team (eller är ditt team) och har sam­ti­digt full upp­back­ning vad gäl­ler kom­pe­tens och resur­ser från våra kon­sul­ter som job­bar “back office”. Men var­för job­bar vi på det sät­tet?

Läs artikel »

Är du redo för robottexterna?

Content och mar­ke­ting – båda delar­na behövs. Men vad hän­der när robo­tar tar över text­pro­duk­tio­nen med fokus på det sist­nämn­da? Med de rät­ta nyc­kelor­den och rubri­ker­na som slår. Finns det fort­fa­ran­de en plats för den enga­ge­ran­de och per­son­li­ga berät­tel­sen? Om det­ta hand­lar Lars Wirténs krö­ni­ka.

Läs artikel »

Varning för gratis wifi när du jobbar på distans

Du vet nog redan att det kan fin­nas säker­hets­hål när du job­bar på distans i öpp­na nät­verk. Men stop­par det dig att mej­la kun­den kam­panj­re­sul­ta­tet eller knap­pa in kre­dit­kor­tets siff­ror via café­ets gra­tisupp­kopp­ling? Det bor­de det! Risken finns näm­li­gen att du ger obe­hö­ri­ga till­gång till din infor­ma­tion. Martin Modigh Karlsson beskri­ver faror­na och ger dig sva­ren på var­för gra­tis (nät­verk) inte all­tid är gott – och där­för bör använ­das med stor för­sik­tig­het – samt tip­sar om tre saker du kan göra för att höja säker­he­ten. 

Läs artikel »

Rätten att bli glömd i digitala miljöer

Ett år har pas­se­rat sedan GDPR träd­de i kraft. Fortfarande brot­tas många före­tag med de prak­tis­ka och de juri­dis­ka tillämp­nings­frå­gor­na. Ett pro­blem av det först­nämn­da sla­get är hur före­tag som behand­lar per­son­upp­gif­ter rade­rar des­sa i sina IT-system? Enligt data­skydds­för­ord­ning­en ska man byg­ga upp sina system så att kra­ven i lag­stift­ning­en upp­fylls – men vad inne­bär det? Och går det över­hu­vud­ta­get att rade­ra upp­gif­ter­na på ett sätt som inne­bär att de ald­rig kan åter­ska­pas?

Läs om indi­vi­dens ”rätt att bli glömd” och före­ta­gets skyl­dig­het att rade­ra per­son­upp­gif­ter i dagens krö­ni­ka skri­ven av Jeanette Jönsson, biträ­dan­de jurist på Wistrand Advokatbyrå.

Läs artikel »

Elva tips som får din intervju att lyfta

Att få till en bra inter­vju hand­lar om väl­digt myc­ket mer än att bara stäl­la frå­gor och anteck­na. Låt Lars Wirtén gui­da dig längs vägen – steg för steg till ett garan­te­rat lyc­kat resul­tat! 

Läs artikel »
mattis fringilla porta. Sed sed ut suscipit

Missa inte nästa artikel!

Få gratis nyhetsbrev varannan vecka

i din inkorg – med senaste artiklarna

Dina personuppgifter hanteras enligt vår integritetspolicy.

Pin It on Pinterest