5 viktiga saker att tänka på gällande GDPR

Här kan du läsa om 5 viktiga saker att tänka på gällande GDPR om du driver ett företag och behandlar personuppgifter inom verksamheten. GDPR trädde ikraft den 25 maj 2018 och ersatte den svenska Personuppgiftslagen (PUL). GDPR är en förkortning av ”the General Data Protection Regulation” och på svenska är det kallat för Dataskyddsförordningen.

Datainspektionen, som är den svenska tillsynsmyndigheten, har publicerat en svensk version av hela GDPR som du kan läsa på deras hemsida. (Datainspektionen byter namn till Integritetskyddsmyndigheten 2021-01-01).

5 viktiga saker att tänka på gällande GDPR

Gallring av personuppgifter

Gallra personuppgifter som inte längre är nödvändiga att behandla minst en gång per år. Gallring innebär att personuppgifter ska bli raderade. Detta följer även av dataskyddsprincipen om uppgiftsminimering. Den som är personuppgiftsansvarig får inte behandla fler uppgifter än vad som är nödvändigt.

Kontaktformulär på webbplats

Det är viktigt att förklara hur företaget behandlar personuppgifter som blir skickade till företaget via kontaktformuläret på hemsidan. Informationen om företagets integritetspolicy (även kallad för personuppgiftspolicy, dataskyddspolicy, sekretesspolicy m.m.) måste bli lämnad, innan avsändaren skickar meddelandet via formuläret. Dessutom måste företaget kunna bevisa att avsändaren har samtyckt till behandlingen av personuppgifterna, som blir skickade i samband med meddelandet. Exempelvis avsändarens e-postadress, namn och telefonnummer.

Genom att införa en obligatorisk kryssruta, som avsändaren måste kryssa i för att kunna skicka meddelandet, kan ni försäkra er om att avsändaren har läst och godkänt er behandling av personuppgifterna.

Exempelvis kan det intill kryssrutan stå ”Jag samtycker till behandlingen av mina personuppgifter och att behandlingen sker enligt Företaget AB:s integritetspolicy”.

Kom ihåg att det är ett krav att bockrutan blir aktivt ikryssad av avsändaren. 

Viktiga GDPR avtal

Ett företag som behandlar personuppgifter måste i de flesta fall ha ett personuppgiftsbiträdesavtal och en dataskyddspolicy. Dessutom bör företag ha en registerförteckning, olika interna rutiner och loggböcker. Dessa avtal och dokument är till för att dels följa lagen, dels för att styrka att företaget följer lagen. Exempelvis bör ett företag föra loggbok över gallringar av personuppgifter som sker inom verksamheten, för att kunna styrka att gallring sker enligt GDPR.

Säkerhetsåtgärder

Det är viktigt att tänka på säkerheten inom verksamheten, avseende personuppgifter. Exempelvis är det en god idé att ha lösenordsskyddade arbetsdatorer och telefoner. Det är också bra att genomföra regelbundna lösenordsbyten minst årligen samt vid behov. Det är även bra att installera olika antivirusprogram eller liknande som kan upptäcka intrång, virus eller annan skadlig digital kod. Känsliga personuppgifter, exempelvis uppgifter om hälsa som fram kommer i lönespecifikationer vid sjukfrånvaro, måste bli behandlade med större säkerhet. Sådana uppgifter får bland annat inte bli skickade via okrypterad mejl, eftersom det inte är tillräckligt säkert enligt bestämmelserna i GDPR.

Anmäla incidenter inom 72 timmar

Vissa personuppgiftsincidenter ska enligt reglerna GDPR bli anmälda till tillsynsmyndigheten inom 72 timmar. I Sverige är det Datainspektionen som är tillsynsmyndigheten. En incident kan vara att exempelvis ett felskickat brev eller mejl, förlorad kontroll över personuppgifter eller dataintrång i register med personuppgifter.

Mer information

Här kan du läsa mer om:

Kontaktformulär på hemsidan – GDPR.

Viktigt att tänka på gällande GDPR.

GDPR småföretagare.

Skydda dig eller ditt företag mot dataintrång.

2 vanliga IT-problem för företag.

När får företag behandla personuppgifter enligt GDPR?

Skribent: Företagsforumet.