Även om checklistan är numrerad så är det bara punkt 1–5 som vi rekommenderar att ni gör i den ordningen. Efter att prioriteringen är klar (punkt 5) så kan ni arbeta med resterande punkter parallellt och/eller efter den prioritering som ni gjort.
1. Skapa en GDPR-organisation
2. Skaffa er grundläggande kunskap
3. Börja med att göra en nulägesanalys
4. Gör en GAP- och riskanalys
5. Prioritera det fortsatta arbetet
6. Dokumentera alla behandlingar
7. Ta fram dokument/processer/rutiner som krävs
8. Se över befintliga avtal
9. Hur informerar ni era kunder?
10. Skriv personuppgiftsbiträdesavtal
11. Behöver systemen åtgärdas eller bytas ut?
12. Ta fram rutiner för att säkra individens rättigheter
13. Utbilda personalen i GDPR samt rutiner
1. Skapa en GDPR-organisation
Alla i företaget måste vara med på och förstå att GDPR-arbetet är viktigt. Det är i första hand ett verksamhetsprojekt och inte ett IT-projekt. I de minsta företagen räcker det med en person. I övriga företag rekommenderar vi att mer än en person är med i organisationen. Det är bra om det i projektgruppen ingår representanter från exempelvis IT, ledningen, marknad och sälj. En person bör utses som ansvarig och leda arbetet.
2. Skaffa er grundläggande kunskap
Ni bör ta reda på vad GDPR innebär och vilket arbete det kan innebära för er som företag. Ni hittar information om GDPR här på www.bjornlunden.se samt på datainspektionens hemsida, www.datainspektionen.se.
I onlinekursen GDPR för små och medelstora företag lär du dig hur du jobbar med GDPR i praktiken.
3. Börja med att göra en nulägesanalys
Det här är en viktig del av arbetet, och troligen det mest tidskrävande, med det fortsatta arbetet med GDPR. För att kunna gå vidare med att veta vad ni bör göra för att uppfylla GDPR så måste ni göra en inventering och kartlägga hur ni hanterar personuppgifter idag. Exempelvis bör följande frågor besvaras:
- Vilka arbetsuppgifter har vi där vi behandlar personuppgifter?
- Hur behandlas våra anställda/arbetssökande gällande personuppgifter?
- Vilka system har vi där personuppgifter behandlas?
- Har vi några leverantörer som behandlar personuppgifter för vår räkning? Exempelvis Björn Lundén Information AB.
- Vilka dokument och interna rutiner/processer har vi som rör behandling av personuppgifter? Dessa kan vara generella eller knutna mot specifika system.
- Hur informerar vi våra kunder idag om personuppgiftsbehandlingar och om deras rättigheter?
Inventeringen förenklas om ni delar upp företagets verksamheter i lämpliga delar, för att ni ska kunna inventera de olika personuppgiftsbehandlingar som görs inom varje del. Ett exempel på en sådan uppdelning kan vara: HR/ekonomi, kundservice, hyra, bygg, förvaltning och digitala tjänster. Ett annat exempel på uppdelning är att utgå ifrån de olika IT-system och externa IT-tjänster som används i organisationens behandling av personuppgifter.
4. Gör en GAP- och riskanalys
GAP-analys är skillnaden (gapet) mellan nuläget och det läge ni måste nå för att följa GDPR. Ni får då fram vad ni behöver göra för att kunna efterleva lagen. Det kan handla om dokumentation, nya rutiner och att ta fram tekniska lösningar där det behövs. Dessutom kommer ni antagligen att behöva gallra och radera information.
En riskanalys är ett sätt att titta på personuppgiftsbehandlingarna och försöka avgöra dels vilket ingrepp i den personliga integriteten behandlingen gör, men även risken för en personuppgiftsincident (t ex om personuppgifter kommit orätta händer). Det är alltså en process för att identifiera och minimera riskerna med personuppgiftshanteringen.
5. Prioritera det fortsatta arbetet
Efter att GAP- och riskanalysen är gjord så är det dags att prioritera arbetet.
Viktiga saker att ta hänsyn till är riskerna med era behandlingar, de med hög risk eller med känsliga personuppgifter bör ni ta tag i först. Uppgifter med stort GAP bör man också ta i ett tidigt skede då dessa kan ta tid.
6. Dokumentera alla behandlingar
För att bland annat kunna visa att ni uppfyller kraven enligt GDPR bör ni dokumentera alla personuppgiftsbehandlingar. I dokumentationen ska ändamålet med behandlingen, lagringstiden för hur länge ni sparar uppgifterna samt den lagliga grund ni använder för att behandla uppgifterna ingå.
7. Ta fram dokument/processer/rutiner som krävs
Vid personuppgiftsbehandlingar finns det enligt GDPR krav på viss dokumentation. Utöver detta behövs vissa andra dokument som hjälper dig att visa att ditt företag uppfyller reglerna vid en eventuell kontroll från tillsynsmyndigheten.
Enligt GDPR har den personuppgiftsansvarige en skyldighet att informera kunder, leverantörer etc om ni hanterar personuppgifter. Detta ska framgå av integritetspolicyn (även kallad personuppgiftspolicy eller privacy policy). Där talar ni om vilka personuppgifter ni samlar in, för vilket syfte, lagringstid mm. Ni ska också informera om den registrerades rättigheter (t ex rätten till registerutdrag och rätten att få felaktiga uppgifter korrigerade). GDPR ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk. Informationen ska också vara lättillgänglig. Många har integritetspolicyn publicerad på en egen sida på sin hemsida. Självklart kan man lämna informationen på andra sätt än på hemsidan. Huvudsaken är att den är enkelt formulerad, omfattar alla formella krav och är enkel att ta till sig (läs mer om detta under punkten 9).
Den integritetspolicy som publiceras utåt gentemot allmänheten bör kompletteras med en integritetspolicy för era anställda. Ni har nämligen även informationsskyldighet gentemot de anställda.
En annan viktig policy som man bör ta fram är en IT-säkerhetspolicy. Den ska beskriva vilka IT- och informationsåtgärder som företaget tillämpar för att skydda personuppgifter. Det kan t ex vara att det krävs inloggning för att komma åt system, att inloggning ska vara krypterad, att man inte ska lämna datorn olåst och gå på lunch mm.
Av säkerhetspolicyn bör det även framgå hur de anställda ska arbeta och förhålla sig till företagets IT-utrustning och IT-system på företaget. IT-användningspolicy kan också vara ett separat dokument.
Utöver dessa dokument kan det finnas anledning att ta fram andra policies, samt att ta fram tydliga processer och rutiner vid personuppgiftshantering. Om ni behandlar personuppgifter med stöd av samtycke bör det t ex finnas en rutin vid hantering av samtycke för att ni ska kunna visa att ett samtycke har lämnats. Det bör också finnas rutiner för hur man inom företaget ska agera om en personuppgiftsincident sker. Har personuppgifter kommit i orätta händer ska detta rapporteras till Integritetsskyddsmyndigheten inom 72 timmar och i vissa fall även till de registrerade personerna.
8. Se över befintliga avtal
Behöver era avtal skrivas om eller behöver det bifogas en bilaga utifrån de krav som GDPR ställer? Se i så fall till att genomföra dessa förändringar. Detta gäller både anställningsavtal och externa avtal, såsom avtal med kunder och leverantörer.
9. Hur informerar ni era kunder?
Integritetspolicyn (se ovan) ska vara enkelt tillgänglig för kunder, anställda etc. Ni bör se över och ta fram en plan på hur ni ska informera och genomföra de förändringar som krävs.
För hyresvärdar kan information tillhandahållas i exempelvis hyresavtalet med hyresgästen eller i en extern personuppgiftspolicy. När det kommer till anställda kan informationen tillhandahållas i exempelvis anställningsavtalet eller i en intern personuppgiftspolicy.
Det är vanligt att företag publicerar sin integritetspolicy på sin hemsida. Då kan man hänvisa dit i t ex avtal, e-post (via en länk) eller telefonsvarare när personuppgifterna samlas in via telefon.
10. Skriv personuppgiftsbiträdesavtal
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, dvs i många fall en leverantör av IT-tjänster. Det kan också t ex vara en redovisningsbyrå som sköter bokföring och lönehantering.
Den personuppgiftsansvarige kan inte delegera sitt ansvar och är alltid ytterst ansvarig för att behandlingen sker i enlighet med kraven i GDPR. Ett personuppgiftsbiträde kan bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvariges instruktioner. Personuppgiftsbiträdet kan även, precis vad som gäller för personuppgiftsansvariga, drabbas av sanktionsavgifter om denne inte uppfyller de skyldigheter som finns i GDPR.
När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde ska det finnas ett skriftigt avtal, ett så kallat personuppgiftsbiträdesavtal. Det är den personuppgiftsansvarige som ansvarar för att avtalet finns.
Inventera befintliga biträdesrelationer, både när ni är personuppgiftsansvariga och anlitar ett personuppgiftsbiträde, och när din organisation är personuppgiftsbiträde. Kontrollera att personuppgiftsbiträdesavtal finns och att det uppfyller de utökade kraven i GDPR. Se till att detta avtal upprättas om det saknas.
Här kan du beställa en mall för personuppgiftsbiträdesavtal
11. Behöver systemen åtgärdas eller bytas ut?
Grundläggande principer enligt GDPR är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.
Behandlingen av personuppgifter måste ske med rimlig säkerhet. Personuppgifterna ska skyddas från dataintrång och läckor när de t ex skickas eller lagras. Vilka åtgärder som behövs beror bland annat på uppgifternas art, omfattning och syfte med behandlingen liksom vilka risker för enskildas rättigheter och friheter som behandlingen kan innebära.
Den registrerade har även vissa rättigheter enligt GDPR. Den registrerade ska kunna få ta del av sina uppgifter, korrigera felaktiga uppgifter och kunna få sina personuppgifter borttagna i vissa fall. Denne har även rätt att få sina personuppgifter flyttade (dataportabilitet).
För att tillgodose samtliga dessa krav enligt GDPR behöver ni se över era system och undersöka om de behöver uppdateras, åtgärdas eller bytas ut. Om det är på det sättet så måste ni planera för att kunna genomföra detta när det kommer till resurser och utbildning.
12. Ta fram rutiner för att säkra individens rättigheter
För att kunna tillgodose de registrerades rättigheter att t ex få sina personuppgifter raderade, rättade eller flyttade (dataportabilitet) bör ni se till att skapa rutiner. Dessa rutiner måste också vara kända av samtliga på företaget och det är bra om dessa finns enkelt tillgängliga för samtliga att följa.
13. Utbilda personalen i GDPR samt rutiner
Rekommendationen är att utbilda personalen i grunderna i GDPR. Det krävs också att man som anställd har fått en utbildning i de eventuella nya organisatoriska rutiner och processer som kan ha tagits fram i samband med GDPR-arbetet. Det räcker inte att företaget säger att vi har en ny rutin, utan att man förklarar varför och involverar medarbetarna i arbetet. På så sätt skapar man en medvetenhet kring hur personuppgifter ska hanteras inom företaget.