6 frågor och svar om GDPR!

Det är mindre än 6 månader kvar tills att GDPR tillämpas i svensk lag. För att få lite mer klarhet i förordningen passade vi på att ställa några frågor till vår säkerhets- och GDPR-specialist Jonas Gharanfoli.

Kan du kort beskriva vad GDPR är för något?

GDPR är en förordning, en typ av rättsakt antagen av EU:s institutioner, som handlar om att skydda individens rätt till personlig integritet och deras rätt till att ha sina personuppgifter säkrade. GDPR kommer att reglera alla organisationer som behandlar personuppgifter av något slag, förutom vissa undantag såsom brottsbekämpande organ, exempelvis polisen.

Många företag är stressade över GDPR – vad är dina 3 bästa tips till de som befinner sig i anpassningsprocessen till GDPR?

Alla företag bör göra en registerförteckning

En registerförteckning innebär att man för register över de behandlingsaktiviteter man gör med personuppgifter. Man ska bland annat specificera syftet med behandling, vilka typer av personuppgifter som behandlas och hur länge personuppgifter sparas (Artikel 30). Idag är det vanligt att de flesta behandlingsaktiviteterna, som löneutbetalningar, görs via system. Därför tänker många att registerförteckningen ska skapas med systemen i organisationen som utgångspunkt. Här är det dock viktigt att hålla i åtanke att det är främst själva behandlingsaktiviteten som ska vara utgångspunkten, så det kan vara klokt att dela upp vissa system, som CRM-system, i olika register för olika behandlingsaktiviteter.

Se över sina gallringsrutiner

Det är mycket viktigt att organisationen har ett ändamål med att till exempel lagra personuppgifter. Finns det inget ändamål ska man ta bort personuppgifterna. Man ska inte lagra för att man inte orkar sätta upp en gallringsrutin, eller för att det finns en minimal chans att personuppgifterna kan vara till nytta i en obestämd framtid. Sådana ursäkter fungerar inte. Tidsfristen behöver dock inte alltid uttryckas som: ”efter 1 år raderas personuppgifterna…”, utan kan formuleras så att personuppgifterna tas bort när ändamålet är avklarat. Till exempel, ”När provanställda blir tillsvidareanställda så raderas deras kreditupplysningar från HR-systemet…”

Skapa en IT-policy med hänsyn till GDPR

Om organisationen inte redan har en IT-policy med fokus på informationssäkerhet och GDPR så bör man ta fram en. Detta är viktigt då GDPR kommer att kräva att man har rutiner och policy på plats för att bland annat skydda personuppgifter, det finns till exempel specifika krav på incidenthantering relaterat till personuppgifter.

Vilken information gällande en organisations hantering av personuppgifter har individen rätt att se?

Individen har vid insamlingstillfället rätt att veta bland annat vilka personuppgifter som samlas in, ändamålet och om uppgifterna kommer att överföras till en tredje part. Detta kallas för en integritetspolicy. Registrerade har även i vissa fall rätt att få ut kopior av de personuppgifter som faktiskt behandlas om den registrerade. Det är därför viktigt att tänka på vad man skriver i fritextfälten i CRM- eller supportsystemen.

Vad uppfattar du vara en av de största missuppfattningarna gällande GDPR?

Jag tror att den största missuppfattningen är att vissa tror att enorma sanktionsavgifter kommer att utfärdas för små personuppgiftsbagateller. Straffen kommer att vara proportionerliga till brottet. Anledningen till att det finns ett maximalt sanktionsavgiftsbelopp på €20 000 000 eller 4% av den globala omsättningen är för förmedla ett budskap till de största aktörerna som Facebook och Google som behandlar ofantliga mängder personuppgifter.

Hur hårt är kravet på rätten att bli bortglömd, får man lagra information även fast någon har begärt att bli bortglömd?

Det jag har märkt är att kravet inte alls är så hårt som man trodde att det skulle vara. Det finns många undantag. Det som är viktigt är att det finns ett bra skäl till varför man har kvar personuppgifter om enskilda, exempelvis genom rättsligt anspråk eller arkivändamål om man vill föra statistik. Exempelvis så har den registrerade rätten att få sina personuppgifter borttagna ifall ändamålet med behandlingen inte är nödvändigt längre, ifall den registrerade återkallat sitt samtycke eller om det rör sig om tjänster som Facebook eller e-handel.

Så vad tror du att organisationer kommer att straffas för?

Att man inte har tillräckligt med dokumentation, policy eller rutiner för behandling av personuppgifter anpassade till GDPR. Lägg energi på att föra en registerförteckning, skriv om biträdesavtal, skriv en GDPR-anpassad IT-policy och utbilda anställda om nya rutiner/processer.

 

Här kan du läsa mer om GDPR:

GDPR-tjänster

GDPR: Laglig grund och samtycke

GDPR jämfört med PUL

Gör din registerförteckning med en färdig mall

 

Vill du veta mer om 6 frågor och svar om GDPR!?

Eller undrar du över något annat? Kontakta oss här nedan så kontaktar vi dig snarast!


  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com