Här nedan finns en checklista att arbeta efter. Den räcker i många fall för mindre företag som inte hanterar känsliga personuppgifter.
Var har du för syfte med behandlingen?
Det viktigaste att tänka på när ni samlar in, behandlar, sparar eller sprider en personuppgift är att ni har ett syfte med det. Har vi klart för oss vad syftet är så minskar riskerna att göra fel.
Uppgifter om mina kunder behöver jag för att göra affärer. Uppgifter om min personal behöver jag för att bl.a kunna betala ut lön. Jag behöver också samla in namn och telefonnummer till nya företag som jag bearbetar.
Upprätta en förteckning över de system där ni hanterar personuppgifter.
Alla företag ska ha klart för sig i vilka system personuppgifter lagras och behandlas, i vilket syfte och om det finns lagligt stöd för det. Därför ska man dokumentera detta. Gör ett dokument med kolumner där ni besvarar frågor enligt nedan:
När man gör en sådan här dokumentation så stöter man ganska snabbt på frågan ”Hur ska vi säkerställa att personuppgifterna är korrekta?” Hur gör man det i ett CRM system där ens kunder sedan många år finns? Ja, här måste du ställa dig frågan i vilket syfte du har kvar namnet på marknadschefen till ett företag som ni slutade göra affärer med för 5 år sedan. Han kanske inte ens jobbar kvar. Jag skulle säga att jobba enligt GDPR med personuppgifter ökar kvaliteten i systemen när man tar aktiva beslut om att gammal information som vi inte kan säkerställa ska tas bort!
En av de svåraste sakerna med GDPR är att hitta bra och rimliga gallringsrutiner. Men när du har dem på plats så ökar kvaliteten på din data – och är det inte det vi vill?
Biträdesavtal
Har ni några leverantörer som ni samarbetar med där personuppgifter från er behandlas? Ni kanske har ett IT-företag som arbetar i era system och därmed kan se personuppgifter? Då ska ni teckna biträdesavtal med dessa.
Är det en mindre leverantör eller bara vid ett enstaka tillfälle så kan ett enkelt biträdesavtal via mail räcka där leverantören bekräftar att personuppgifterna endast får användas i det syfte du bestämmer.
Allmänt skydd av personuppgifter på kontoret
Lösa papper med personuppgifter ska inte ligga framme på skrivborden utan åtminstone under pågående ärende ligga skyddade i skrivbordslåda. Dokument med känsliga personuppgifter ska alltid vara inlåsta när de inte aktivt arbetas med.
Informera personalen om vikten av skydd av personuppgifter.
Tystnadsplikt
Hanterar ni till viss mån känsliga personuppgifter? Se till att samtliga medarbetare tecknat avtal om tystnadsplikt via anställningsavtalet eller separat.
Lösenord
Alla har ett ansvar att ha lösenord som är personliga och säkera. Ett bra lösenord är långt. Ett knep är att hitta på en nonsensmening som lösenord, t. ex. ”ekorren hoppar högt mellan träden på våren” vilket är mycket säkrare än t ex ”liselott76”. Till mail och sociala medier bör tvåfaktorautentisering alltid väljas.
E-post gallringsrutin
När ni får e-post med personuppgifter – vilket man får väldigt ofta – ska detta raderas när det har behandlats. Det är inte längre tillåtet att ha e-post som allmänt arkiv och sökmotor. Skapa en gallringsrutin på företaget där ni t. ex. beslutar att e-post med personuppgifter raderas efter behandling. Mailade bilagor med personuppgifter sparar vi på annat sätt om det anses berättigat (intresseavvägning).
Årsvis raderar vi samtliga mail i in- och utkorgen (mail över ett år gamla behövs sällan och det som behövs, t. ex. överenskommelser med leverantörer, sparar vi på annat sätt).
Försök komma ifrån att ditt mailprogam är din sökmotor för viktig information!
Gallring på hårddiskar
Har ni gamla dokument med personuppgifter som i stort sett bara ligger och skräpar på datorn? Gallra bort dessa. Inför en rutin att dokument med personuppgifter som är behandlade och inte längre behövs ska gallras bort omgående. Det underlättar i den dagliga verksamheten om alla på företaget har en sådan rutin.
Övriga dokument med personuppgifter som ska eller bör sparas
Det finns naturligtvis dokument med personuppgifter ni inte får gallra bort och det är sådant som t. ex. går under bokföringslagen som fakturor.
Även personalakter behöver sparas efter anställningens upphörande (för att kommunicera med pensionsmyndighet eller ge referenser till andra företag).
Hemsidan
Hemsidan ska ha ett samtycke mot användaren för att få använda cookies. På hemsidan bör du också ha en integritetspolicy där du skriver om hur du behandlar personuppgifter i din verksamhet och hur kontaktuppgifter sparas om man tar kontakt med ditt företag.
Gå min GDPR-kurs online!
Jag är en del av Diploma Utbildningar. Där finns kursen GDPR i Praktiken som du hittar här >>
Jag kan också ge utbildning direkt på ditt företag / organisation.
Kontakta mig idag om du har funderingar om GDPR i din verksamhet!