Artiklar Guide GDPR

Checklista för GDPR – åtgärder för att uppnå efterlevnad

30 apr 2018

Företag runt om i världen förbereder sig just nu för den nya dataskyddsförordningen GDPR. Det är inte långt kvar tills den träder i kraft, så det är hög tid att se till att just ditt företag är redo att möta kraven. Om du bedriver verksamhet inom EU, eller behandlar uppgifter om EU-medborgare, är du skyldig att följa den nya lagstiftningen senast den 25 maj 2018. 

14 viktigaste förändringarna med GDPR 

Om du har läst vår serie om GDPR vet du redan vad förordningen innebär. Bestämmelserna syftar till att öka skyddet för EU-medborgare och samordna dataskyddslagarna för samtliga medlemsländer. GDPR är en uppdatering av dataskyddsdirektivet från 1998.  

De främsta förändringarna är: 

  • Striktare regler för att få personers samtycke 
  • Utökad geografisk räckvidd(1) 
  • Rättslig grund för att behandla personuppgifter(2) 
  • Större fokus på individens rättigheter 
  • Skyldighet att informera om dataintrång(3) 
  • Direkt förpliktelse och ansvarsskyldighet för företag som behandlar personuppgifter 
  • Viten på upp till 4  procent av den globala årsomsättningen vid brott mot lagen 
  • Sekretess som inbyggd funktion(4) 
  • Rätt till åtkomst 
  • Rätt att bli bortglömd(5) 
  • Rätt att bli informerad 
  • Dataportabilitet(6) 
  • Obligatoriskt att utse dataskyddsombud för vissa företag(7) 
  • Obligatoriska konsekvensanalyser av sekretess (PIA)  

Oavsett om du arbetar med marknadsföring riktad till företag eller konsumenter kommer ditt företag att behöva hantera och skydda personuppgifter. De här bestämmelserna kommer att bidra till att strömlinjeforma din verksamhet och ge kostnadsbesparingar.  

 

Checklista för GDPR: Så gör du för att uppfylla kraven och undvika vite 

Korrekt datahantering är avgörande för att följa den nya lagen. Till din hjälp har Bisnodes experter skapat en checklista med de viktigaste GDPR-kraven.  

Även om listan innehåller uppgifter som ditt marknadsföringsteam kan utföra på egen hand kan det vara en bra idé att anlita jurister. Det är särskilt viktigt för stora organisationer. 

Definiera ditt geografiska område  

GDPR gäller företag med säte inom EU, samt företag utanför EU som behandlar uppgifter om EU-medborgare.  

Att göra-lista 

  • Om ditt företag tillhör någon av kategorierna ovan är du skyldig att följa GDPR.  
  • Globala organisationer måste ta reda på vilken dataskyddsmyndighet de lyder under.  

 

Öka kännedomen 

Öka kännedomen om den nya dataskyddslagstiftningen inom och utanför ditt företag. 

Att göra-lista 

  • Informera företagets beslutsfattare och medarbetare om de kommande förändringarna. Uppdatera eller revidera dina avtal med affärspartner, leverantörer och underleverantörer.  
  • Om du samarbetar med leverantörer utanför EU måste du kontrollera att de följer GDPR. 
  • Säkerställ att alla avtal med tredje part omfattar skydd mot GDPR-relaterade risker.   
  • Övervaka deras arbete för efterlevnad. Genomför kontroller av dina främsta leverantörer.  
  • Anordna seminarier om GDPR för försäljnings- och marknadsföringsavdelningarna. 

 

”Kartlägg” din data 

Identifiera all data som ditt företag förfogar över. Säkerställ att du vet var uppgifterna kommer ifrån, hur du planerar att använda dem och med vilka de delas. 

Att göra-lista 

  • Genomför en datakontroll för att utvärdera din data och i vilka syften du använder den.  
  • Identifiera dina riskområden och vidta de åtgärder som krävs.  
  • Säkerställ att du har rättslig grund att använda uppgifterna.  
  • Om du tar emot uppgifter från tredje part måste du kontrollera att de är korrekta och lagliga.  
  • Radera alla uppgifter som är överflödiga eller inaktuella.  
  • Ha tydliga riktlinjer för hur länge information sparas.  

 

Skapa och hantera dataregister  

GDPR kräver att företag för register över de uppgifter de behandlar. Företagen måste kunna bevisa sin ansvarsskyldighet och efterlevnad.  

Att göra-lista 

  • Skapa och upprätthåll ett dataregister som innehåller följande: 
  • Namn på och kontaktuppgifter till företaget och dataskyddsombudet (om tillämpligt) 
  • En beskrivning av kategorierna för personuppgifter 
  • Syftet med databehandlingen 
  • Kategorierna för registrerade och mottagare  
  • Överföringar av personuppgifter till tredje part  
  • En allmän beskrivning av företagets säkerhetsåtgärder  

 

Uppdatera dina riktlinjer för dataskydd  

GDPR innebär inte bara att du måste följa den nya dataskyddslagstiftningen, utan även att du måste bevisa att du gör det. Utöver att upprätthålla dataregister(8) behöver du även uppdatera (eller revidera) dina riktlinjer och processer.  

Att göra-lista 

  • Samarbeta med en jurist för att avgöra om dina dataskyddsriktlinjer följer GDPR.  
  • Säkerställ att dina riktlinjer omfattar följande aspekter: 
  • Vem som är ansvarig för databehandling, säkerhet och andra viktiga delar av GDPR 
  • Hur du identifierar dataintrång och vad du gör om det sker 
  • Hur du hanterar personer som begär åtkomst till sina uppgifter 
  • Hur du agerar om samtycket återkallas 
  • Vad som ska finnas med i sekretessmeddelanden – använd ett kortfattat, lättförståeligt och tydligt språk 
  • Hur du hanterar förfrågningar från kunder om dataportabilitet, rätten att bli bortglömd, rätten att bli informerad, rätten att invända, rätten till korrigering osv.  
  • Beskriv rättslig grund, inklusive samtycke, vitala intressen och offentliga intressen för laglig databehandling  

 

Inhämta samtycke för databehandling  

För att följa GDPR måste företagen utvärdera hur de söker, hanterar och registrerar samtycke(9). De måste även ta ställning till övriga fem rättsliga grunder, bland annat laglig datahantering och legitima intressen som rättslig grund för databehandlingen. Enligt den nya dataskyddslagen måste samtycket vara tydligt, specifikt, välinformerat och frivilligt. Det måste dessutom gå att bevisa. Individen har rätt att återkalla samtycket när som helst.  

Att göra-lista 

  • Gå igenom dina befintliga rutiner för att inhämta samtycke.  
  • Notera status för godkännande för alla kontakter. 
  • Analysera din befintliga databas. Klargör om de registrerade har lämnat sitt samtycke för behandling av personuppgifter eller inte. 
  • Säkerställ att dina marknadsföringsmetoder följer GDPR innan du lanserar nya kampanjer.  
  • Länka till din uppdaterade webbsida om sekretess från alla prenumerationsformulär.  
  • Säkerställ att alla formulär på din webbplats innehåller explicit samtycke. 
  • Ge tydliga instruktioner för hur prenumerationer avslutas och samtycke återkallas. 
  • Gör aldrig samtycke till ett krav för att få ta emot en viss tjänst. 

 

Hantera informationsbegäranden  

När GDPR träder i kraft kommer företag att bli skyldiga att svara på begäranden om information inom en månad.  

Att göra-lista 

  • Skapa en landningssida för informationsbegäranden. 
  • Skapa alternativ för att uppdatera eller radera uppgifter på begäran. 
  • Gör det enkelt för kunderna att hantera sina e-postprenumerationer. 
  • Gå igenom varje begäran manuellt och svara inom en månad. 

 

Förbered dig inför säkerhetsintrång 

Datasäkerhet är en av de viktigaste punkterna i GDPR. Oavsett ditt företags storlek eller form är det obligatoriskt att förvara personuppgifter på ett säkert sätt och anmäla säkerhetsintrång inom 72 timmar(10).  

Att göra-lista 

  • Skapa en plan för att hantera säkerhetsintrång. 
  • Implementera kryptering på lämplig nivå för alla företagets enheter. 
  • Överväg att tillämpa tvåfaktorsautentisering för alla medarbetare. 
  • Säkerställ att din IT-infrastruktur är säker. Identifiera högriskområden och åtgärda dem.  
  • Oavsett om du byter till helt nya system eller uppgraderar befintliga ska sekretess ingå som en inbyggd funktion.  
  • Alla filer, servrar och datorer ska vara låsta för obehörig användning.  

 

Observera särskilda GDPR-krav  

EU:s dataskyddsförordning slår fast att alla företag som tillhandahåller digitala tjänster till barn måste kontrollera deras ålder och inhämta godkännande från en förälder eller målsman för att behandla deras uppgifter(11). Det är bara barn som är 16 år eller äldre som har laglig rätt att själva ge sitt samtycke.  

Att göra-lista 

  • Säkerställ att du har tillgång till system för att kontrollera en persons ålder.  
  • Inhämta alltid godkännande från förälder eller målsman innan du behandlar barns uppgifter.  
  • Alla sekretessmeddelanden som vänder sig till barn måste vara anpassade för barn. 

 

Utse ett dataskyddsombud  

Företag som behandlar specifika kategorier av personuppgifter, exempelvis kopplat till lagöverträdelser och fällande domar, måste utse ett dataskyddsombud, en DPO(12). Samma krav gäller offentliga myndigheter och företag som behandlar stora mängder data.  

Även om du inte tillhör någon av dessa kategorier kan ett dataskyddsombud säkerställa att ditt företag uppfyller kraven för dataskydd. Dataskyddsombudets roll är att hantera och övervaka både uppgifterna och de rutiner som krävs för att uppnå efterlevnad.  

Att göra-lista 

  • Avgör om ni är skyldiga att utse ett dataskyddsombud eller inte. Det kan vara en extern konsult eller en intern medarbetare. Dataskyddsombudet rapporterar till den högsta ledningen.  
  • Om du inte behöver något ombud är det viktigt att säkerställa att någon inom organisationen ansvarar för dataskyddet.  
  • Ge dataskyddsombudet tillräckliga resurser för att kunna utföra sitt uppdrag.  

 

Gör dig redo för en ny era inom datasekretess 

De nya kraven är stränga och innebär nya utmaningar för företagen. Det finns fortfarande tid att planera, investera i ny teknik och uppdatera riktlinjer. Med hjälp av den här GDPR-checklistan och andra hjälpmedel kan du utöka din verksamhet, uppnå efterlevnad och undvika omfattande viten.  

Kom ihåg att GDPR är något positivt. Se det som en katalysator för innovation och säkerhet.  

Det ger inte bara individer större kontroll över sina uppgifter, det gör dessutom företagen ansvariga för sättet de hanterar och behandlar känslig information på. Dessutom skapar det ett konsekvent regelverk för dataskydd och sekretess.  

Tack vare GDPR kommer företagen att få ökad kunskap om hur de effektivt kan behandla personuppgifter och kunna dra lärdomar om kundbeteenden utifrån informationen.  

Om du vill ha mer information om dataskyddsförordningen och datahantering är du varmt välkommen att kontakta oss! Våra experter står beredda att hjälpa dig implementera satsningar för GDPR-efterlevnad snabbare och till en lägre kostnad.


1 https://gdpr-info.eu/art-3-gdpr/
2 https://gdpr-info.eu/art-6-gdpr/
3 https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-1-data-security-and-breach-notification/
4 https://gdpr-info.eu/art-25-gdpr/
5 https://gdpr-info.eu/art-17-gdpr/
6 https://gdpr-info.eu/art-20-gdpr/
7 https://www.dponetwork.eu/uploads/3/1/7/3/31732293/gdpr_dpo_decisiontree.pdf
8 https://gdpr-info.eu/art-30-gdpr/
9 https://gdpr-info.eu/art-7-gdpr/
10 https://gdpr-info.eu/art-33-gdpr/
11 https://gdpr-info.eu/art-8-gdpr/
12 file:///C:/Users/HP/Downloads/wp243_enpdf.pdf

Få insikter, trender och inspiration från Bisnode Smart Insights