Checklista nya dataskyddsförordningen

EU:s nya dataskyddsförordning reglerar hur personuppgifter får behandlas och ställer höga krav på alla aktörer på marknaden. Den ska vara genomförd och börja tillämpas i hela EU den 25 maj 2018. Det kan tyckas vara lång tid kvar men det är mycket som behöver göras för att anpassa olika verksamheter till den nya förordningen. 

Här är en checklista över hur du kan gå tillväga och vad du bör tänka på när man inventerar sin verksamhet. Notera att listan inte är uttömmande och ytterligare åtgärder kan komma att behövas. 

1. Börja med att gå igenom hela verksamheten och kartlägg vilka behandlingar av personuppgifter som görs och varför.

Ett förslag är att göra en förteckning i enlighet med artikel 30 i dataskyddsförordningen.

Tänk igenom:

  1. Vilka personuppgifter har vi tillgång till? Hur? Vilka är kategorierna av registrerade individer och kategorierna av personuppgifter?
  2. Behandlas särskilda kategorier av personuppgifter (tidigare känsliga uppgifter) enligt artikel 9 i dataskyddsförordningen?
  3. Vilka behandlingar gör vi och för vilka ändamål?
  4. Vilken legal grund har vi för respektive behandling? En uttömmande uppräkning av de legala grunderna finns i artikel 6 i dataskyddsförordningen.
  5. Har vi använt oss av den svenska missbruksregeln avseende t ex personuppgifter i e-post och liknande? Hur ska vi hantera dess uppgifter och hur hanterar vi dem framöver?
  6. Vilka källor har vi för personuppgifter (t ex samlar in, köper, delar)? Har vi lämnat ut personuppgifter till någon annan aktör? I så fall vilka?
  7. Hur har vi informerat om hur vi behandlar personuppgifter?
  8. Vilka gallringsrutiner har vi?
  9. Hur ser vi till att säkerhetskraven avseende organisation och teknisk säkerhet är uppfyllda?
  10. För vi över personuppgifter till tredje land? Tänk på att om molntjänster används kan själva molnet befinna sig i ett land utanför EU vilket räknas som överföring till tredje land.
2. Inventera hur personuppgifter avseende anställda hanteras
  1. Anställningsavtal
  2. Rekryteringsunderlag
  3. Utvärderingar och analyser
3) Utvärdera vilka åtgärder som behöver vidtas för att uppfylla kraven i dataskyddsförordningen
  1. Samtycken, ändamålsbeskrivningar och informationslämning
  2. Rutiner för gallring
  3. Rutiner för registerutdrag och portering av uppgifter
  4. Rätten att bli bortglömd
  5. Organisatoriska och tekniska strukturer/privacy by design, t ex policies, rutiner och teknisk säkerhet
  6. Rutin för att göra konsekvensanalyser
  7. Rutin för anmälan till Datainspektionen vid personuppgiftsbrott
  8. Rutin för löpande utvärderingsarbete
  9. Utbildning av personal
4) Undersök om det finns en skyldighet att tillsätta en Data Protection Officer

Dataskyddsdirektivet

Publicerad: 2016.06.29 Senast uppdaterad: 2017.03.02 Kategori: E-handel och digitalisering

Skriv en kommentar