Här kan du läsa om vad kan vara bra att tänka på för att börja få koll på GDPR som företag eller företagare.
Skapa en överblick över hur ni hanterar och behandlar personuppgifter.
Det är bra att börja med att analysera och kartlägga personuppgifterna som företaget hanterar. Det gäller både anställda och kunder osv. Det gäller alltifrån namn, e-postadresser, klientregister, personnummer mm. För känsliga personuppgifter så som hälsa (ex sjukfrånvaro på anställda) behöver bli lagrade och behandlade med ännu större säkerhet.
För att behandla personuppgifter måste man ha en av de sex stycken rättsliga grunderna, exempelvis avtal eller samtycke. Dessutom måste företag följa de sju dataskyddsprinciperna vid all behandling av personuppgifter. Personuppgifter ska även bli borttagna när de inte längre behövs för det syfte de blev lagrade för.
Företag måste också ha nödvändiga GDPR avtal och dokument.
Avtalen och dokumenten som företag behöver är:
- Integritetspolicy
- Personuppgiftsbitrödesavtal
- Loggböcker
- Registerförteckning
- Interna rutiner
Undersök om eventuella samarbetspartners och leverantörer följer GDPR.
Exempelvis är detta relevant om du driver en mobilapplikation och lagrar personuppgifter genom att anlita ett externt företag som har servrar. Då blir personuppgifter lagrade i deras databas och det är viktigt att de följer GDPR. Dessutom är det ditt företag som ansvar för att behandlingen sker enligt GDPR och att du gör vad du kan för att se till att de gör det. Till exempel om deras servrar är utanför EU/EES-länderna där GDPR inte gäller, finns en risk att det inte uppfyller GDPR.
Det gäller att även se över hur eventuell redovisningskonsult följer GDPR eller annat biträde som behandlar personuppgifter för företagets räkning. Exempelvis redovisningsbyrå, ekonomisystem, hostingleverantör eller molnlagringssystem m.fl.
Börja få koll på GDPR genom att upprätta en förteckning över vilka företaget delar personuppgifter till och till vilket syfte det sker. Därefter är det viktigt att anteckna den rättsliga grunden och vart behandlingen sker.
Vanligt fel vissa företag gör
Ett vanligt fel som vissa företag gör är att de har ett kontaktformulär på sin hemsida genom vilket besökare kan skicka meddelanden till företaget. Oftast skriver man in personuppgifter i samband med att man fyller i ett sådant kontaktformulär, exempelvis e-post, namn, telefonnummer osv. Då måste företaget meddela besökaren om hur behandlingen av personuppgifterna sker.