GDPR ersätter PUL. Har du koll?

Förändring är skoj. Den 25 maj 2018 vässar EU till lagboken ytterligare och företag får nya riktlinjer och ökat ansvar. Ett halvår kan tyckas vara långt bort men faktum är att det kommer innebära en stor omställning för många företag. För vissa kan det finnas anledning att oroa sig, kanske är ni en av dessa? Nedan har vi listat åtta punkter för att se hur GDPR-kompatibla ni är.

 Har du kvar lassekongo_49@hotmail.com i ditt nyhetsbrevsregister två år efter det att han avslutat prenumerationen?

Ja, det kanske du har. Viktigt då är att fråga sig varför? Den nya lagen innebär i grunden att ett företag inte kan äga en uppgift om en person, utan endast låna den. Har Lasse sagt nej är det alltså nej som gäller och hans e-postadress ska tas bort från systemet.

 Nu när du vet att Lasse ska bort – har du rutinerna för hur?

Bra rutiner underlättar så otroligt mycket, visst är det så? Att ha rutiner för hur denna typen av saker ska hanteras är viktigt för att det faktiskt ska hända. Att sätta upp tydliga riktlinjer är bra. Gör det.

 Kan ni redogöra för Lasse om vilken information ni lagrat om honom?

Kanske kan ni inte det, men det kommer ni behöva ändra på. GDPR innebär nämligen att vem som helst kan komma att kräva ut all sin information. Och då gäller det att vara väl förberedd. Så är det.

 Har er webbredaktör tillgång till leveransadresser till era kunder?

Är det verkligen nödvändigt? Se till att så få användare som möjligt har tillgång till personuppgifter. De enda som ska kunna ta del av detta är de med yrkesmässig anledning. Ingen annan.

 Sparar ni kunders uppgifter för att använda i framtiden till oklara syften?

Många företag har i dag kunders personuppgifter sparade till dolda syften. Kanske är ni en av dessa, vad vet vi. Huvudsaken är att ni som företag är medvetna om att ni, i samband med att uppgifter efterfrågas, måste visa vad de ska användas till. Syftet ska framgå tydligt. Inga tvivel. 

 Har det hänt att du mellanlandat excel-filer med personuppgifter på din laptop när du flyttar data från ett system till ett annat?

Är det verkligen så smart? Om du inte äger personuppgifterna och inte har något lagligt syfte till att ha tillgång till dessa bryter du mot lagen genom att lagra dessa på din laptop. Att få grova böter på grund av en sån miss är ju lite trist. 

 Aj aj aj, du glömde din laptop innehållandes personuppgifter på tåget. Vet du vad det kan innebära?

Det kan hända även den bästa. Men skulle det vara så att personuppgifter hamnar i orätta händer måste det rapporteras till Datainspektionen, oavsett om det handlar om dataintrång eller att du själv trasslat till det. Du måste även informera de vars uppgifter läckt ut inom 72 timmar.

 Litar du på att din leverantörer hanterar dina kunders uppgifter på ett korrekt sätt?

Inte så sällan hanteras era kunders uppgifter i system som en leverantör tillhandahåller och har insyn i. Om så är fallet vore det ju rimligt ifall ni vet att detta sker på ett sätt ni kan försvara gentemot era kunder. För att dela på ansvaret finns det något som heter biträdesavtal som ni tecknar med er leverantör. Gör ni inte det, är det ni som mottagare av personuppgiften som står med hela ansvaret ifall något händer.