GDPR: 5 tips på 5 minuter

1. Identifiera personlig information, data och behandling

GDPR, även kallad dataskyddsförordningen, reglerar behandling av personlig data och det fria flödet av sådana uppgifter inom EU. Det kan vara så att din verksamhet inte ens omfattas av GDPR – undersök därför det först. GDPR omfattar enbart behandling av personlig information eller data, så identifiera var i din verksamhet personlig data och behandlingen av personlig data förekommer.

Vad menas med personlig data?

Kort och gott är personlig data all information som kan användas för att identifiera en person. Några mycket tydliga exempel på personlig data är namn, födelsedatum och personnummer, adress och andra kontaktuppgifter. Men personlig data kan vara mycket mer subtilt, även IP-adress, utseende och intressen kan vara personlig data om det kan användas för att identifiera en person. 

Exempelvis kan uppgifter om hårfärg under vissa förutsättningar utgöra personlig information, men inte alltid. Det beror på i vilket sammanhang informationen samlas in och om den förvaras tillsammans med andra personuppgifter som till exempel namn, ålder och kön. 

Vad innebär det att behandla personlig data?

Faktum är att nästan all hantering av personuppgifter räknas som behandling av personlig data. Händer det någonsin att din verksamhet samlar in, registrerar, organiserar, lagrar, bearbetar, framtar, använder, utlämnar, justerar, begränsar eller raderar information om era kunder? Då kan du räkna med att verksamheten också omfattas av GDPR!

2. Ta reda på verksamhetens behandlingsunderlag

För att kunna behandla personuppgifter måste du ha en så kallad laglig grund för det. 

Samtycke från kunden är den vanligaste grunden för behandling. Med största sannolikhet har du gett ditt samtycke till behandling av dina personuppgifter på en eller flera webbplatser. Detta sker oftast automatiskt när du accepterar cookies på webbplatsen. Du har säkert också samtyckt till att din arbetsgivare behandlar dina personuppgifter i samband med anställning. 

För att ett samtycke ska vara giltigt behöver det vara informerat, frivilligt och tydligt. 

Sammanfattat betyder det att:

1. Personen i fråga förstår vad du använder personuppgifterna till 
2. Samtycke sker utan press eller tvång
3. Det inte råder några tvivel om vad personen har samtyckt till

3. Lär dig principerna för databehandling 

GDPR är grundad på några generella principer om hur personlig data ska hanteras. Om du inte är säker på att sättet din verksamhet behandlar data på är laglig bör du alltså vända dig till dessa grundprinciper. Vi rekommenderar att du skriver ut artikel 5 i förordningen, som beskriver alla principer. Häng den på väggen eller skriv ned principerna på en lapp så att de alltid syns!

4. Att radera uppgifter ska vara enkelt

Personuppgiftsförordningen har ett stort fokus på privatpersoners rättigheter. Privatpersoners rättigheter innefattar bland andra rätten att bli bortglömd och uppgiftsskyldigheten. Rätten att bli bortglömd innebär att personen har rätt att få personuppgifterna om sig själv raderade. Uppgiftsskyldigheten innebär att en privatperson har rätt att begära ut alla de uppgifter om sig själv som en verksamhet har samlat in. 

Oavsett om du arbetar med en eller flera databaser kan det vara en skrämmande uppgift att sammanställa och radera människors information manuellt. Genom att organisera ditt system så att du enkelt kan efterleva privatpersoners rättigheter och uppfylla förordningens krav kan du underlätta arbetet. 

Organisera din verksamhets system för förvaring, utlämning och radering av data så tidigt som möjligt. Det blir billigare än att strukturera om ett helt IT-system i efterhand.

5. Kom ihåg datasäkerhet

Datasäkerhet behöver inte innebära dyra kostnader för ditt företag. Du kommer långt med lite sunt förnuft. Även om du krypterat din dator är det viktigt att du låser den och förvarar den i ett låst rum när den inte används. Kom också ihåg att endast lagra filer med personlig information på säkra servrar och inte på din hårddisk.