Lösningar

GDPR checklista

GDPR Checklista för personuppgiftsansvariga/företagare

Är du uppdaterad med GDPR? Vår GDPR-checklista kan hjälpa dig att säkra din organisation, skydda dina kunders data och undvika dyra böter för bristande efterlevnad.

För att förstå GDPR-checklistan är det också användbart att känna till en del av terminologin och lagens grundläggande struktur. Du kan hitta denna information på vår sida ”Vad är GDPR?” Observera att ingenting på denna sida utgör juridisk rådgivning. Vi rekommenderar att du pratar med en advokat som är specialiserad på efterlevnad av GDPR och som kan tillämpa lagen på just dina omständigheter.

GDPR Checklist SV

Rättslig grund och transparens

(Organisationer som har minst 250 anställda eller bedriver databehandling med hög risk är skyldiga att hålla en uppdaterad och detaljerad lista över sina behandlingsaktiviteter och vara redo att visa denna lista för tillsynsmyndigheterna på begäran. Det bästa sättet för att visa GDPR-efterlevnad är Organisationer med färre än 250 anställda bör också göra en bedömning eftersom det kommer att göra det lättare att följa GDPR:s övriga krav tillgång till den inom din organisation, eventuella tredje parter (och var de finns) som har åtkomst , vad du gör för att skydda data (t.ex. kryptering) och när du planerar att radera den (om möjligt).

Enligt GDPR ska alla organisationer som behandlar personuppgifter ha en laglig grund för att göra det. Det finns flera möjliga rättsliga grunder som kan motivera behandling av personuppgifter, t.ex. Samtycke: Om du har erhållit samtycke från den registrerade att behandla deras uppgifter för det specifika ändamålet kan detta vara lagligt

Du måste informera folk om att du samlar in deras data och varför. Du bör förklara hur uppgifterna behandlas, vem som har tillgång till dem och hur du skyddar dem. Denna information måste inkluderas i din integritetspolicy och lämnas till de registrerade när du samlar in deras uppgifter. Den måste presenteras ”i en kortfattad, transparent, begriplig och lättillgänglig form med ett tydligt och enkelt språk, särskilt om informationen är specifikt riktad till ett barn.”



Datasäkerhet

Du måste följa principerna för ”dataskydd genom design och som standard”, inklusive implementering av ”lämpliga tekniska och organisatoriska åtgärder” för att skydda data. Dataskydd måste med andra ord nu vara något du alltid måste tänka på när du behandlar andras personuppgifter. Du måste också se till att all behandling av personuppgifter följer dataskyddsprinciperna som beskrivs i artikel 5 på gdpr.eu. Tekniska åtgärder inkluderar kryptering, och organisatoriska åtgärder inkluderar saker som att begränsa mängden personuppgifter du samlar in eller radera data du inte längre behöver. Poängen är att det måste vara något du och dina medarbetare alltid är medvetna om.

Länk till artikel 5

De flesta produktivitetsverktyg som företag använder är nu tillgängliga med inbyggd end-to-end-kryptering, inklusive e-post, meddelandetjänster, anteckningar och molnlagring. GDPR kräver att organisationer använder kryptering eller pseudonymisering där så är möjligt.

Även om din tekniska säkerhet är stark kan driftsäkerheten fortfarande vara en svag punkt. Skapa en säkerhetspolicy som säkerställer att dina teammedlemmar är medvetna om datasäkerhet. Den bör innehålla riktlinjer för e-postsäkerhet, lösenord, tvåfaktorsautentisering, enhetskryptering och VPN. Anställda som har tillgång till personuppgifter och icke-tekniska anställda bör få ytterligare utbildning om GDPR-krav.

En dataskyddsutvärdering (även känd som integritetskonsekvensbedömning) är ett sätt att hjälpa dig förstå hur din produkt eller tjänst kan hota dina kunders data och hur du kan minimera dessa risker. UK Information Commissioner’s Office (ICO) har en checklista för dataskyddsbedömning på sin webbplats. GDPR kräver att organisationer utför denna typ av analys när de planerar att använda människors data på ett sätt som ”sannolikt kommer att resultera i en hög risk för deras rättigheter och friheter.” ICO rekommenderar att du gör det varje gång du måste behandla personuppgifter.

Länk till konsekvensanalys för dataskydd

Om det finns ett dataintrång och personuppgifter avslöjas måste du meddela tillsynsmyndigheten i din jurisdiktion inom 72 timmar. En lista över många av EU:s medlemsländers tillsynsmyndigheter finns på gdpr.eu. GDPR anger inte vem du ska meddela om du inte är en organisation baserad i EU. För de i engelsktalande länder utanför EU kan det vara enklast att meddela Office of the Data Protection Commissioner i Irland. Du är också skyldig att omedelbart informera de berörda registrerade om dataintrång, såvida inte intrånget sannolikt inte riskerar dem (till exempel om den stulna informationen är krypterad).



Ansvar och styrning

En annan del av ”dataskydd genom design och som standard” är att se till att någon i din organisation är ansvarig för efterlevnad av GDPR. Denna person bör ha befogenhet att utvärdera dataskyddspolicyer och implementeringen av dessa policyer.

Detta inkluderar alla tredjepartstjänster som hanterar personuppgifter om dina registrerade, inklusive analysmjukvara, e-posttjänster, molnservrar, etc. Majoriteten av tjänsterna har ett standarddatabehandlingsavtal tillgängligt på deras webbplatser som du kan granska. Dessa avtal beskriver varje parts rättigheter och skyldigheter i förhållande till efterlevnad av GDPR. Du bör endast använda tredje parter som är tillförlitliga och kan ge tillräckliga garantier för dataskydd.

Om du behandlar uppgifter som rör individer i ett visst medlemsland måste du utse en representant i det landet som kan kommunicera på dina vägnar med datatillsynsmyndigheterna. GDPR och dess officiella stöddokument ger ingen vägledning i situationer där behandlingen påverkar EU-medborgare i flera medlemsländer. Tills detta krav tolkas kan det vara klokt att utse en representant i ett medlemsland som talar ditt språk. Vissa organisationer, till exempel offentliga organ, är inte skyldiga att utse en representant i EU.

Det finns tre omständigheter där organisationer måste ha en dataskyddsombud (DPO), men det är en bra idé att ha en även om regeln inte gäller dig. Dataskyddsombudet ska vara en dataskyddsexpert vars uppgift är att övervaka efterlevnaden av GDPR, bedöma dataskyddsrisker, ge råd om dataskyddsutvärderingar och samarbeta med tillsynsmyndigheter. Läs mer om det här

Länk till DPO



Integritetspolicy

Människor har rätt att se vilken personlig information du har om dem och hur du använder den. De har också rätt att veta hur länge du planerar att behålla deras information och anledningen till att de sparar den under den perioden. Du måste skicka dem den första kopian av denna information utan kostnad, men kan ta ut en rimlig avgift för efterföljande kopior. Se till att du kan bekräfta identiteten på den person som begär uppgifterna. Du bör kunna tillmötesgå sådana förfrågningar inom en månad.

Gör ditt bästa för att hålla data uppdaterad genom att upprätta en datakvalitetsprocess, och gör det enkelt för dina kunder att se och uppdatera sin personliga information för noggrannhet och fullständighet. Se till att du kan bekräfta identiteten på den person som begär uppgifterna. Du bör kunna möta önskemål enligt inom en månad.

Länk till artikel 15
Länk till artikel 16

Människor har i allmänhet rätt att be dig radera alla personuppgifter du har om dem och du måste följa deras begäran inom cirka en månad. Det finns fem anledningar till att du kan avslå begäran, till exempel att utöva yttrandefrihet eller att följa en rättslig skyldighet. Du bör också försöka verifiera identiteten på den person som gör begäran.

Dina registrerade kan begära att begränsa eller stoppa behandlingen av sina uppgifter om vissa skäl föreligger, främst om det finns tvivel om lagenligheten av behandlingen eller uppgifternas riktighet. Du måste följa deras begäran inom cirka en månad. Medan behandlingen är begränsad får du fortfarande behålla deras data. Du måste meddela den registrerade innan du börjar behandla deras uppgifter igen.

Det betyder att du måste kunna skicka deras personuppgifter i ett allmänt läsbart format (t.ex. ett kalkylblad) antingen till sig själva eller till en tredje part som de utser. Detta kan tyckas orättvist ur ett affärsperspektiv, eftersom du kan behöva lämna över dina kunders data till en konkurrent. Men ur ett integritetsperspektiv är tanken att människor äger sin data, inte du.

Om du behandlar deras uppgifter för direktmarknadsföringsändamål måste du omedelbart stoppa behandlingen för detta ändamål. Annars kan du kanske ifrågasätta deras invändning om du kan visa ”tvingande legitima skäl.

Vissa typer av organisationer använder automatiserade processer för att hjälpa dem att fatta beslut om människor som kan få juridiska eller ”lika betydande” konsekvenser. Om du tror att detta gäller dig måste du upprätta ett förfarande för att säkerställa att du skyddar deras rättigheter, friheter och legitima intressen. Du måste göra det enkelt för människor att begära mänskligt ingripande, uttrycka sin åsikt om beslut och utmana beslut du redan har fattat.

Framgång!

Grattis! Om du plikttroget har arbetat till botten av GDPR-checklistan, har du avsevärt begränsat din exponering för regulatoriska sanktioner.

Slutligen vill vi återigen påminna dig om att denna checklista inte på något sätt är juridisk rådgivning. Det finns dussintals bestämmelser i GDPR som bara gäller i sällsynta fall, vilket skulle vara kontraproduktivt att täcka här. Du bör kontrollera med en advokat för att säkerställa att din organisation är helt GDPR-kompatibel.

033-document-1.png
Kontakta oss

Samarbeta med oss ​​för att få ett omfattande IT-skydd

Vi svarar gärna på alla dina frågor och hjälper dig att hitta de tjänster som bäst motsvarar dina behov.

Min fördel:

Vad händer härnäst?

1

Vi ordnar ett samtal när det passar dig

2

Vi genomför en upptäckts- och rådgivande undersökning

3

Vi förbereder ett förslag

Boka en kostnadsfri konsultation

Contact - SV
Första
Sista