Checklista GDPR nya dataskyddsförordningen

EU:s nya dataskyddsförordning reglerar hur personuppgifter får behandlas och ställer höga krav på alla aktörer på marknaden. 

GDPR-reglerna är en förordning vilket innebär att alla länder inom EU kommer att ha samma regler. Förordningen ersätter nuvarande regler, i Sverige Personuppgiftslagen (PUL) och ställer högre krav på företag och organisationer att systematiskt arbeta med dataskyddsfrågor.

Rätten till sina egna personuppgifter stärks

Reglerna innebär bland annat att enskilda personers rätt att själv bestämma över sina personuppgifter stärks. Exempelvis genom att lämna samtycke till att få information. För företag som behandlar personuppgifter höjs kraven väsentligt, bland annat hur personuppgifter får användas, vilken information som ska lämnas och vilka konsekvensanalyser som ska göras.

Om reglerna inte följs finns risk för höga sanktionsavgifter som vid allvarliga brister i dataskydd kan uppgå till fyra procent av företagets globala omsättning.

Här är en checklista över hur du kan gå tillväga och vad du bör tänka på när man inventerar sin verksamhet. Notera att listan inte är uttömmande och ytterligare åtgärder kan komma att behövas. 

1. Börja med att gå igenom hela verksamheten och kartlägg vilka behandlingar av personuppgifter som görs och varför.

Ett förslag är att göra en förteckning i enlighet med artikel 30 i dataskyddsförordningen.

Tänk igenom:

  1. Vilka personuppgifter har vi tillgång till? Hur? Vilka är kategorierna av registrerade individer och kategorierna av personuppgifter?
  2. Behandlas särskilda kategorier av personuppgifter (tidigare känsliga uppgifter) enligt artikel 9 i dataskyddsförordningen?
  3. Vilka behandlingar gör vi och för vilka ändamål?
  4. Vilken legal grund har vi för respektive behandling? En uttömmande uppräkning av de legala grunderna finns i artikel 6 i dataskyddsförordningen.
  5. Har vi använt oss av den svenska missbruksregeln avseende t ex personuppgifter i e-post och liknande? Hur ska vi hantera dess uppgifter och hur hanterar vi dem framöver?
  6. Vilka källor har vi för personuppgifter (t ex samlar in, köper, delar)? Har vi lämnat ut personuppgifter till någon annan aktör? I så fall vilka?
  7. Hur har vi informerat om hur vi behandlar personuppgifter?
  8. Vilka gallringsrutiner har vi?
  9. Hur ser vi till att säkerhetskraven avseende organisation och teknisk säkerhet är uppfyllda?
  10. För vi över personuppgifter till tredje land? Tänk på att om molntjänster används kan själva molnet befinna sig i ett land utanför EU vilket räknas som överföring till tredje land.
2. Inventera hur personuppgifter avseende anställda hanteras
  1. Anställningsavtal
  2. Rekryteringsunderlag
  3. Utvärderingar och analyser
3) Utvärdera vilka åtgärder som behöver vidtas för att uppfylla kraven i dataskyddsförordningen
  1. Samtycken, ändamålsbeskrivningar och informationslämning
  2. Rutiner för gallring
  3. Rutiner för registerutdrag och portering av uppgifter
  4. Rätten att bli bortglömd
  5. Organisatoriska och tekniska strukturer/privacy by design, t ex policies, rutiner och teknisk säkerhet
  6. Rutin för att göra konsekvensanalyser
  7. Rutin för anmälan till Datainspektionen vid personuppgiftsbrott
  8. Rutin för löpande utvärderingsarbete
  9. Utbildning av personal
4) Undersök om det finns en skyldighet att tillsätta en Data Protection Officer
Publicerad: 2016.06.29 Senast uppdaterad: 2022.11.17 Kategori: E-handel och digitalisering