Den 25 maj 2018 är satt som deadline för företag att följa EU:s allmänna dataskyddsförordning som är utformad för att förena dataskyddsbestämmelser i alla EU-medlemsstater. Det eller betala böter på upp till 20 miljoner euro eller 4% av företagets globala intäkter, beroende på vilket som är störst och hur stor överträdelsen är. Att fokusera på personuppgifter bör driva hela din GDPR-strategi, policy och tekniska beslut fortsättningsvis.
GDPR checklista för att komma igång
Vi på Rule vill hjälpa dig komma till skott med din GDPR strategi, om du inte redan gjort det, genom att sammanställa en checklista för dig:
1. Granska din data
Ta en omfattande titt på all din data. Utvärdera vilken typ av data du har, hur känslig den är, var den hålls och hur du bearbetar den. Se till att du och ditt team förstår skillnaden mellan de strukturerade och ostrukturerade data som du för närvarande hanterar.
- Har du ett kundregister?
- Skickar du ut nyhetsbrev eller någon annan typ av marknadsföring till dina kunder?
- Har du något form av bokningssystem där kunder kan boka hos dig?
- Har du ett register över dina leverantörer?
- Har du bestämt hur länge uppgifter om dina kunder, leverantörer och anställda sparas?
- Skyddar ni uppgifterna om era kunder, leverantörer och anställda?
Vill du dyka ner ännu lite djupare i GDPR och alla tillhörande regler? Läs mer om hur företag bör hantera personuppgifter i enlighet med GDPR.
2. Definiera dina processer och dokumentera
När du har tittat på de uppgifter som din organisation hanterar är det förmodligen säkert att anta att du hanterar en viss mängd känsliga data. Med det i åtanke kommer ditt nästa steg att vara att definiera processerna och rutinerna kring hur du hanterar den datan. Varje gång du behandlar personuppgifter manuellt eller i ett system kan vissa risker vara inblandade. Därför är det klokt att ha färdiga GDPR-kompatibla rutiner för att kunna analysera all verksamhet som rör personuppgifter. Rita gärna upp och kartlägg så att du lättare har en tydlig överblick medans du definerar dina processer och dokumenterar.
- Vilken personlig information har vi?
- Hur hanterar vi den?
- Vilka lagliga rättigheter förlitar vi oss på vid olika behandlingar?
- Vem har tillgång till personuppgifter?
- När tar vi bort dem?
- Dokumenterar vi hur vi tänker och hur vi hanterar våra kunduppgifter?
3. Säkerställ hanteringen i EU
En annan sak som är bra att fråga sig själv är:
Kan ni som företag definiera vem som har tillgång till de mapparna med personuppgifter som ni sitter på och skapa ett protokoll för hur dessa filer delas internt och externt? En viktig och aktuell sak att tänka på är tredjelandsöverföringar. Det innebär att du måste ha koll på när ni skickar dokument som innehåller personuppgifter via e-post till någon i ett land utanför EU att den leverantören följer dataskyddsförordningen.
Det är lätt att lita på att ditt eget företag hanterar alla personuppgifter inom EU korrekt. Men samma regler gäller även om ditt företag har anlitat underleverantörer. Du måste ha fullständig kontroll över vem som har tillgång till vilken information.
Strukturera upp det arbetet redan nu – så sparar ni tid i framtiden. Läs mer om GDPR utanför EU och varför alla amerikanska leverantörer inte längre kan hantera personuppgifter enligt GDPR.
4. Implementera dina processer och dokumentation
Allt du har identifierat och skissat på i steg 1-3 är avgörande när det kommer till implementeringsfasen. När det gäller att genomföra dina nya eller förbättrade processer och procedurer rekommenderar vi att du anställer en dataskyddsmedarbetare (DPO), även om det kanske inte verkar nödvändigt. Investeringar i en DPO kan vara ett bra val eftersom det ger dig en dedikerad resurs vars enda arbete är att hålla din verksamhet kompatibel från topp till botten.
5. Skriv en “Dataskyddspolicy”
En dataskyddspolicy och information om hantering av dina kunders personuppgifter är en central del i dataskyddsförordningen checklista. Dataskyddspolicyn kan även benämnas integritetspolicy och personuppgiftspolicy, det finns flera olika namn för samma typ av avtal. Syftet med denna policy är enligt GDPR att på ett så transparent sätt som möjligt informera kunder om hur deras personuppgifter hanteras.
Checklista på vad en dataskyddspolicy ska innefatta:
- Det ska finnas stöd i dataskyddsförordningen för att få behandla personuppgifter
- Samla bara in personuppgifter för specifika ändamål.
- Behandla inte fler personuppgifter än vad som är nödvändigt.
- Se till att personuppgifterna är riktiga.
- Radera personuppgifter när de inte längre behövs.
- Man ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.
6. Skapa ett övervakningssystem - utbilda dina medarbetare
Det är viktigt att ha fullständig synlighet i ditt företags processer för hantering av data. Prioritera avstämningssaktivitet och korrigerande åtgärder baserade på områden med högsta risk. Det enklaste sättet att behålla synligheten är att vara mycket kommunikativ och hålla en öppen kommunikationslinje med alla inblandade, granska och uppdatera sekretesspolicyn regelbundet.
Att göra lista:
- Meddela ditt företags beslutsfattare och anställda om blivande förändringar.
- Uppdatera eller ändra dina avtal med affärspartners, leverantörer och underleverantörer.
- Om du arbetar med leverantörer utanför EU måste du kontrollera att de är GDPR-kompatibla.
- Se till att alla avtal med tredje part inkluderar skydd mot GDPR-relaterade risker.
- Organisera GDPR-workshops för försäljnings- och marknadsavdelningar.
7. Planera för det ”värsta-fall” scenariot
Om ditt företag befinner sig mitt i ett brott, föreslår vi att du lägger upp en plan för korrekt kommunikation, samt förebyggande åtgärdskurser som ditt företag kan försöka vidta. Även om inte varje överträdelse behöver rapporteras är det bästa sättet att behandla alla brott med lika stor betydelse och att du är väl förberedd för även de värsta fallen.
Använd vår GDPR checklista
Medan den nya GDPR innebär ett antal förändringar och övergången skapar en betydande mängd extraarbete för organisationer, är det bra. Den nya GDPR håller oss ansvariga för hur vi behandlar och hanterar känslig information, gör oss själva och de människor vi gör affärer med säkrare i den digitala världen vi lever i – inte bara idag utan även i framtiden.
Förhoppningsvis kommer denna dataskyddsförordningen checklista hjälpa din organisation i övergången, oavsett om du bara är igång eller redan på väg!
Behöver du hjälp med din GDPR strategi? Kontakta oss!
Kom igång med Rule redan idag, helt kostnadsfritt på obegränsad tid.
