GDPR-info och verktyg

 

 


Vad är GDPR?

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen är en vidareutveckling av personuppgiftslagen (PUL) som gällt tidigare. GDPR ställer bland annat större krav på dokumentation och information från de som hanterar personuppgifter. Förordningen ska börja tillämpas 25 maj 2018.

Varför införs GDPR?

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

För vilka gäller GDPR? 

GDPR gäller för samtliga företag/myndigheter/föreningar och i vissa fall även privatpersoner som har verksamhet i ett EU-land eller med individer som befinner sig i ett EU-land. Den gäller all personuppgiftsbehandling i systematisk form, i princip all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den kan även gälla viss manuell hantering, t ex register man har på papper.

Personuppgiftsansvarig och personuppgiftbiträde

Förordningen gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.

Både en personuppgiftsansvarig och ett personuppgiftsbiträde har alltså ansvar för att GDPR följs. Båda måste t ex föra register över behandling och ha ett eget ansvar för säkerhet. Använder du någon annan för att behandla dina personuppgifter så är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denne, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig för. 

Vad räknas då som personuppgifter? 

En personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person (människa/fysisk person). Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person.

Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person.

Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ. 

En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.

Känsliga personuppgifter

Vissa kategorier av personuppgifter anses vara känsliga personuppgifter. Det gäller uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler.

Vad är en personuppgiftsbehandling? 

En personuppgiftsbehandling är allting man kan göra med en personuppgift och några vanliga exempel är att samla in den, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Har du någon gång samlat, hämtat eller köpt in en personuppgift och har den i elektronisk form så kan du räkna med att du gör en personuppgiftsbehandling. 

Säkert sätt

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Gallring

Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.

Rättslig grund 

Man har bara laglig rätt att behandla personuppgifter om man har en så kallad rättslig grund. De 4 olika grunder som man normalt kommer att använda sig av är samtycke, avtal, rättslig förpliktelse eller intresseavvägning.

Samtycke är ett sätt att hämta ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om. Rättslig förpliktelse är t.ex. att man är tvungen att spara bokföringsunderlag i 7 år enligt bokföringslagen eller att man är tvungen att skicka in en inkomstdeklaration till skatteverket. Intresseavvägning innebär att du anser att ditt intresse av att behandla uppgiften väger tyngre än den registrerades rätt till att inte bli behandlad, det kan t ex vara ifråga om direktreklam.

Den registrerades åtkomst till sina personuppgifter

Den registrerade har rätt att få tillgång till de uppgifter som företaget har registrerat om denne. Dessutom kan den registrerade begära att företaget ska rätta eller radera data som finns om denne. Den som har lämnat sina personuppgifter har även i vissa fall rätt att få ut uppgifterna i flyttbar form och använda uppgifterna på annat håll (dataportabilitet).

Dokumentation och information

Det finns ett antal saker du måste göra för att följa GDPR. Du måste t ex dokumentera alla personuppgiftsbehandlingar. En sådan dokumentation måste innehålla uppgifter om den rättsliga grunden för behandlingen, varför du behandlar uppgiften, hur länge du behandlar uppgiften och vilka personuppgifter som samlas in.

Ett exempel skulle vara att du vill hämtar in kunduppgifter för att kunna sälja en produkt till en ny kund. I ett sådant fall så är syftet att ni ska kunna göra affärer och att du kanske ska kunna leverera en vara hem till kunden. Du behöver alltså ha in namn och adress för att kunna skicka varan och du kanske behöver en e-post-adress för att kunna skicka en faktura eller kontakta kunden. Möjligen kan man även vilja ha ett telefonnummer för att kunna kontakta kunden vid frågor.  Man får däremot inte samla in extra uppgifter som inte har med syftet att göra, t ex namn på andra personer som bor på samma adress.

Du måste uppge lagringstiden för det du hämtat in, vilket skulle kunna vara att du sparar uppgifterna så länge den personen är kund hos er. Den rättsliga grunden i detta är att uppgiften behövs för att ni ska kunna fullgöra avtalet.

Du måste också informera om vilka personuppgifter du samlar in, för vilket syfte och hur länge dessa sparas. Detta kan t ex göras på en hemsida, via e-post eller i ett avtal. Du måste även informera dina kunder om deras rätt att få sina uppgifter rättade eller raderade och om deras rätt att få ut de personuppgifter som de lämnat till dig genom registerutdrag och rätt att få ut uppgifterna i flyttbar form (dataportabilitet). 

Här kan du kostnadsfritt ladda ner en excel-fil som hjälper dig i arbetet med att dokumentera » 

Här är en checklista för GDPR-arbetet för nedladdning i word-format »

Sanktionsavgift

Både personuppgiftsansvariga och personuppgiftsbiträden kan drabbas av böter om man inte följer GDPR. Man kan bli tvungen att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning om man inte sköter sig. 

Anmälan om dataintrång

Om det inträffar ett dataintrång eller någon annan incident som påverkar säkerheten måste man anmäla det till Datainspektionen inom 72 timmar. Man kan också behöva meddela de registrerade. Det kan t ex handla om personuppgifter som genom hackning eller slarv blivit stulna, exponerats felaktigt på internet, felaktigt förstörts eller ändrats.


 

 

Frågor & svar

Vad räknas som en personuppgift enligt GDPR?

En personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person (människa/fysisk person). Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person. Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn, kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person. Det är inte bara text som räknas som personuppgifter utan även bilder, ljudupptagningar, fingeravtryck, IP-adresser eller andra uppgifter som på ett annat sätt kan används till att identifiera en individ. 

En uppgift om en juridisk person, t ex ett aktiebolag, är inte en personuppgift. Men namnet på en person som jobbar i ett företag kan vara en personuppgift.


Vad räknas som en personuppgiftsbehandling enligt GDPR?

En personuppgiftsbehandling är allting man kan göra med en personuppgift och några vanliga exempel är att samla in den, spara en uppgift, ändra, titta på, skriva ut, ta bort, förstöra m.m. Har du någon gång samlat, hämtat eller köpt in en personuppgift och har den i elektronisk form så kan du räkna med att du gör en personuppgiftsbehandling. 


Gäller den nya dataskyddsförordningen (GDPR) bara företag eller även privatpersoner?

GDPR gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. Det finns undantag, bland annat för privatpersoners egna privata behandling av personuppgifter.


Om en kund hävdar rätten att bli glömd enligt dataskyddsförordningen (GDPR) måste vi radera allt om den personen?

Rätten att bli bortglömd gäller bara om:

  • uppgifterna inte längre behövs för de ändamål som de samlades in för
  • behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • behandlingen grundar sig på en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse.
  • personuppgifterna har behandlats olagligt.
  • den registrerade invänder mot behandling för direktmarknadsföringsändamål.
  • En kund kan inte begära att få bli bortglömd om du måste behålla personuppgifter för att uppfylla en rättslig skyldighet. Ett exempel är att allt som ingår i bokföringen ska sparas i minst sju år enligt bokföringslagen.


Kan man inte skicka lönespecifikationer med mail då den nya dataskyddsförordningen (GDPR) börjar gälla 25 maj 2018? 

Enligt GDPR så spelar samtycke om att skicka lönespecifikationer via e-post ingen roll pga säkerhetsbristerna med e-post. Lönespecifikationer riskerar att innehålla känsliga personuppgifter (främst kopplat till den anställdes hälsa, t ex sjukavdrag, sjuklön, osv) och är därmed olämpliga att skicka med vanlig mail.

Skulle inte lönespecifikationerna innehålla uppgifter som klassificeras som känsliga är det förvisso inget som hindrar att mail fortsätter användas men det kan ju vara ett bra tillfälle att passa på att byta till en bättre metod (och då menar vi inte att återgå till lönespecifikationer på papper som kanske skickas med posten).

Det är viktigt att hålla en hög säkerhetsnivå, och det är arbetsgivaren som är ansvarig för att rätt säkerhetsnivå hålls. En webbtjänst eller app som kräver inloggning för åtkomst är en bra säkerhetsnivå.

 

Är det tillåtet enligt dataskyddsförordningen (GDPR) att skicka fakturor via mail? Jag har en fastighetsägare som kund och deras hyresavier innehåller hyresgästens personnummer?

Fakturor går normalt bra att skicka via mail (eftersom de sällan innehåller några känsliga personuppgifter såsom t ex hälsa, politiska åsikter, religion mm). Personnummer räknas inte som en känslig personuppgift men däremot så får personnummer bara behandlas (t ex skickas med e-post) om det är klart motiverat med hänsyn till ändamålet med behandlingen.

Om inte hyresgästens personnummer behöver anges på fakturorna i detta fall så torde det inte vara motiverat att ha med det. Då bör man plocka bort personnumret. Ett annat alternativ är att utesluta de fyra sista siffrorna i personnumret för då räknas det inte som ett personnummer enligt GDPR.


Vad innebär det att en kund har rätt till dataportabilitet?

En kund som har lämnat sina personuppgifter till ett företag har rätt att få ut sina personuppgifter i elektronisk form och använda uppgifterna på annat håll. Företaget som tagit emot personuppgifterna är alltså skyldigt att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att företaget behandlar personuppgifterna med stöd av ett samtycke från kunden eller för att uppfylla ett avtal med kunden. Detta kommer sannolikt att bli vanligast om en person vill flytta sina uppgifter från ett socialt nätverk till ett annat, t ex gmail, dropbox, onedrive, twitter osv.

 



Checklista

Den 25:e maj 2018 ersattes personuppgiftslagen med dataskyddsförordningen (GDPR). Förordningen liknar till stor del personuppgiftslagen (PUL) men innehåller både nyheter och mer omfattande regler.  Alla som behandlar personuppgifter ska alltså tillämpa GDPR. Det finns ett flertal saker som ni behöver göra och få koll på för att bli GDPR-redo. Därför har vi satt ihop en checklista som kan hjälpa er på vägen. Checklistan finns för nedladdning i word-format »

Även om checklistan är numrerad så är det bara punkt 1–5 som vi rekommenderar att ni gör i den ordningen. Efter att prioriteringen är klar (punkt 5) så kan ni arbeta med resterande punkter parallellt och/eller efter den prioritering som ni gjort.

1. Skapa en GDPR-organisation

2. Skaffa er grundläggande kunskap

3. Börja med att göra en nulägesanalys

4. Gör en GAP- och riskanalys

5. Prioritera det fortsatta arbetet

6. Dokumentera alla behandlingar

7. Ta fram dokument/processer/rutiner som krävs

8. Se över befintliga avtal

9. Hur informerar ni era kunder?

10. Skriv personuppgiftsbiträdesavtal

11. Behöver systemen åtgärdas eller bytas ut?

12. Ta fram rutiner för att säkra individens rättigheter

13. Utbilda personalen i GDPR samt rutiner

1. Skapa en GDPR-organisation

Alla i företaget måste vara med på och förstå att GDPR-arbetet är viktigt. Det är i första hand ett verksamhetsprojekt och inte ett IT-projekt. I de minsta företagen räcker det med en person. I övriga företag rekommenderar vi att mer än en person är med i organisationen. Det är bra om det i projektgruppen ingår representanter från exempelvis IT, ledningen, marknad och sälj. En person bör utses som ansvarig och leda arbetet.

2. Skaffa er grundläggande kunskap

Ni bör ta reda på vad GDPR innebär och vilket arbete det kan innebära för er som företag. Ni hittar information om GDPR här på www.blinfo.se samt på datainspektionens hemsida, www.datainspektionen.se.

Vi har tagit fram webbkursen GDPR från grunden där vi går igenom vad den nya lagen innebär och vad du behöver göra för att uppfylla kraven i GDPR.

3. Börja med att göra en nulägesanalys

Det här är en viktig del av arbetet, och troligen det mest tidskrävande, med det fortsatta arbetet med GDPR. För att kunna gå vidare med att veta vad ni bör göra för att uppfylla GDPR så måste ni göra en inventering och kartlägga hur ni hanterar personuppgifter idag. Exempelvis bör följande frågor besvaras:

  • Vilka arbetsuppgifter har vi där vi behandlar personuppgifter?
  • Hur behandlas våra anställda/arbetssökande gällande personuppgifter?
  • Vilka system har vi där personuppgifter behandlas?
  • Har vi några leverantörer som behandlar personuppgifter för vår räkning? Exempelvis Björn Lundén Information AB.
  • Vilka dokument och interna rutiner/processer har vi som rör behandling av personuppgifter? Dessa kan vara generella eller knutna mot specifika system.
  • Hur informerar vi våra kunder idag om personuppgiftsbehandlingar och om deras rättigheter?

Inventeringen förenklas om ni delar upp företagets verksamheter i lämpliga delar, för att ni ska kunna inventera de olika personuppgiftsbehandlingar som görs inom varje del. Ett exempel på en sådan uppdelning kan vara: HR/ekonomi, kundservice, hyra, bygg, förvaltning och digitala tjänster. Ett annat exempel på uppdelning är att utgå ifrån de olika IT-system och externa IT-tjänster som används i organisationens behandling av personuppgifter.

Här kan du kostnadsfritt ladda ner en excel-fil som hjälper dig i arbetet med personuppgiftsinventeringen» 

4. Gör en GAP- och riskanalys

GAP-analys är skillnaden (gapet) mellan nuläget och det läge ni måste nå för att följa GDPR. Ni får då fram vad ni behöver göra för att kunna efterleva lagen. Det kan handla om dokumentation, nya rutiner och att ta fram tekniska lösningar där det behövs. Dessutom kommer ni antagligen att behöva gallra och radera information.

En riskanalys är ett sätt att titta på personuppgiftsbehandlingarna och försöka avgöra dels vilket ingrepp i den personliga integriteten behandlingen gör, men även risken för en personuppgiftsincident (t ex om personuppgifter kommit orätta händer). Det är alltså en process för att identifiera och minimera riskerna med personuppgiftshanteringen.

5. Prioritera det fortsatta arbetet

Efter att GAP- och riskanalysen är gjord så är det dags att prioritera arbetet.

Viktiga saker att ta hänsyn till är riskerna med era behandlingar, de med hög risk eller med känsliga personuppgifter bör ni ta tag i först. Uppgifter med stort GAP bör man också ta i ett tidigt skede då dessa kan ta tid.

6. Dokumentera alla behandlingar

För att bland annat kunna visa att ni uppfyller kraven enligt GDPR bör ni dokumentera alla personuppgiftsbehandlingar. I dokumentationen ska ändamålet med behandlingen, lagringstiden för hur länge ni sparar uppgifterna samt den lagliga grund ni använder för att behandla uppgifterna ingå.

Här kan du kostnadsfritt ladda ner en excel-fil som hjälper dig i arbetet med att dokumentera » 

7. Ta fram dokument/processer/rutiner som krävs

Vid personuppgiftsbehandlingar finns det enligt GDPR krav på viss dokumentation. Utöver detta behövs vissa andra dokument som hjälper dig att visa att ditt företag uppfyller reglerna vid en eventuell kontroll från tillsynsmyndigheten.

Enligt GDPR har den personuppgiftsansvarige en skyldighet att informera kunder, leverantörer etc om ni hanterar personuppgifter. Detta ska framgå av integritetspolicyn (även kallad personuppgiftspolicy eller privacy policy). Där talar ni om vilka personuppgifter ni samlar in, för vilket syfte, lagringstid mm. Ni ska också informera om den registrerades rättigheter (t ex rätten till registerutdrag och rätten att få felaktiga uppgifter korrigerade). GDPR ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Informationen ska också vara lättillgänglig. Många har integritetspolicyn publicerad på en egen sida på sin hemsida. Självklart kan man lämna informationen på andra sätt än på hemsidan. Huvudsaken är att den är enkelt formulerad, omfattar alla formella krav och är enkel att ta till sig (läs mer om detta under punkten 9).

Här kan du se hur vår personuppgiftspolicy är utformad »

Den integritetspolicy som publiceras utåt gentemot allmänheten bör kompletteras med en integritetspolicy för era anställda. Ni har nämligen även informationsskyldighet gentemot de anställda.

En annan viktig policy som man bör ta fram är en IT-säkerhetspolicy. Den ska beskriva vilka IT- och informationsåtgärder som företaget tillämpar för att skydda personuppgifter. Det kan t ex vara att det krävs inloggning för att komma åt system, att inloggning ska vara krypterad, att man inte ska lämna datorn olåst och gå på lunch mm.

Av säkerhetspolicyn bör det även framgå hur de anställda ska arbeta och förhålla sig till företagets IT-utrustning och IT-system på företaget. IT-användningspolicy kan också vara ett separat dokument.

Utöver dessa dokument kan det finnas anledning att ta fram andra policies, samt att ta fram tydliga processer och rutiner vid personuppgiftshantering. Om ni behandlar personuppgifter med stöd av samtycke bör det t ex finnas en rutin vid hantering av samtycke för att ni ska kunna visa att ett samtycke har lämnats. Det bör också finnas rutiner för hur man inom företaget ska agera om en personuppgiftsincident sker. Har personuppgifter kommit i orätta händer ska detta rapporteras till Integritetsskyddsmyndigheten inom 72 timmar och i vissa fall även till de registrerade personerna.

8. Se över befintliga avtal

Behöver era avtal skrivas om eller behöver det bifogas en bilaga utifrån de krav som GDPR ställer? Se i så fall till att genomföra dessa förändringar. Detta gäller både anställningsavtal och externa avtal, såsom avtal med kunder och leverantörer.

9. Hur informerar ni era kunder?

Integritetspolicyn (se ovan) ska vara enkelt tillgänglig för kunder, anställda etc. Ni bör se över och ta fram en plan på hur ni ska informera och genomföra de förändringar som krävs.

För hyresvärdar kan information tillhandahållas i exempelvis hyresavtalet med hyresgästen eller i en extern personuppgiftspolicy. När det kommer till anställda kan informationen tillhandahållas i exempelvis anställningsavtalet eller i en intern personuppgiftspolicy.

Det är vanligt att företag publicerar sin integritetspolicy på sin hemsida. Då kan man hänvisa dit i t ex avtal, e-post (via en länk) eller telefonsvarare när personuppgifterna samlas in via telefon.

10. Skriv personuppgiftsbiträdesavtal

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, dvs i många fall en leverantör av IT-tjänster. Det kan också t ex vara en redovisningsbyrå som sköter bokföring och lönehantering.

Den personuppgiftsansvarige kan inte delegera sitt ansvar och är alltid ytterst ansvarig för att behandlingen sker i enlighet med kraven i GDPR. Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvariges instruktioner. Personuppgiftsbiträdet kan även, precis vad som gäller för personuppgiftsansvariga, drabbas av sanktionsavgifter om denne inte uppfyller de skyldigheter som finns i GDPR.

När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska det finnas ett skriftigt avtal, ett så kallat personuppgiftsbiträdesavtal. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.

Inventera befintliga biträdesrelationer, både när ni är personuppgiftsansvariga och anlitar ett personuppgiftsbiträde, och när din organisation är personuppgiftsbiträde. Kontrollera att personuppgiftsbiträdesavtal finns och att det uppfyller de utökade kraven i GDPR. Se till att detta avtal upprättas om det saknas.

Här kan du beställa en mall för personuppgiftsbiträdesavtal »

11. Behöver systemen åtgärdas eller bytas ut?

Grundläggande principer enligt GDPR är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.

Behandlingen av personuppgifter måste ske med rimlig säkerhet. Personuppgifterna ska skyddas från dataintrång och läckor när de t ex skickas eller lagras. Vilka åtgärder som behövs beror bland annat på uppgifternas art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära.

Den registrerade har även vissa rättigheter enligt GDPR. Den registrerade ska kunna få ta del av sina uppgifter, korrigera felaktiga uppgifter och kunna få sina personuppgifter borttagna i vissa fall. Denne har även rätt att få sina personuppgifter flyttade (dataportabilitet).

För att tillgodose samtliga dessa krav enligt GDPR behöver ni se över era system och undersöka om de behöver uppdateras, åtgärdas eller bytas ut. Om det är på det sättet så måste ni planera för att kunna genomföra detta när det kommer till resurser och utbildning.

12. Ta fram rutiner för att säkra individens rättigheter

För att kunna tillgodose de registrerades rättigheter att t ex få sina personuppgifter raderade, rättade eller flyttade (dataportabilitet) bör ni se till att skapa rutiner. Dessa rutiner måste också vara kända av samtliga på företaget och det är bra om dessa finns enkelt tillgängliga för samtliga att följa.

13. Utbilda personalen i GDPR samt rutiner

Rekommendationen är att utbilda personalen i grunderna i GDPR. Det krävs också att man som anställd har fått en utbildning i de eventuella nya organisatoriska rutiner och processer som kan ha tagits fram i samband med GDPR-arbetet. Det räcker inte att företaget säger att vi har en ny rutin, utan att man förklarar varför och involverar medarbetarna i arbetet. På så sätt skapar man en medvetenhet kring hur personuppgifter ska hanteras inom företaget.

Vi har tagit fram webbkursen GDPR från grunden där vi går igenom vad den nya lagen innebär och vad du behöver göra för att uppfylla kraven i GDPR.  



Filer för nedladdning 

Personuppgiftsinventering och registerförteckning

För att kartlägga personuppgiftsbehandlingar, få fram vilka åtgärder som behövs för att GDPR ska uppfyllas samt ta fram dokumentation så kan ni använda er av denna excel-mall.

Innan du börjar arbeta med mallen bör du ha läst igenom all information ovan för att förstå hur du ska fylla i mallen.

Ladda ner mallen Personuppgiftsinventering och registerförteckning » 

Checklista

Det finns ett flertal saker som ni behöver göra och få koll på för att bli GDPR-redo. Därför har vi satt ihop en checklista som kan hjälpa er på vägen. (Detta är samma checklista som återfinns ovan på denna sida.)

Ladda ner Checklista »