Warning: Use of undefined constant jquery - assumed 'jquery' (this will throw an Error in a future version of PHP) in /storage/content/52/115152/rogerelverskog.se/public_html/wp-content/themes/Chameleon/functions.php on line 158 Warning: Use of undefined constant jquery - assumed 'jquery' (this will throw an Error in a future version of PHP) in /storage/content/52/115152/rogerelverskog.se/public_html/wp-content/themes/Chameleon/functions.php on line 159 Checklista GDPR för småföretag - Roger Elverskog Warning: count(): Parameter must be an array or an object that implements Countable in /storage/content/52/115152/rogerelverskog.se/public_html/wp-includes/post-template.php on line 284 Warning: count(): Parameter must be an array or an object that implements Countable in /storage/content/52/115152/rogerelverskog.se/public_html/wp-includes/post-template.php on line 284

Checklista GDPR för småföretag

Här är en checklista för att påbörja ditt GDPR-arbete på ett mindre företag.

Var har du får syfte med behandlingen?

Det viktigaste att tänka på när du samlar in, behandlar, sparar eller sprider en personuppgift är att du har ett syfte med det. Har du klart för dig vad syftet är så minskar riskerna att göra fel.

Har du rätt att behandla personuppgifterna?

Det måste finnas en laglig grund för att hantera personuppgifter. Samtycke, avtal och intresseavvägning är några exempel på laglig grund som ofta kan komma på fråga för små företag.
Om du har ett kund-leverantörsförhållande så behöver du inget extra samtycke från kunden för att de finns i din kunddatabas (kunden kan anta att de ingår i något form av register). Du kan också ha prospekt i din kunddatabas (du måste ju kunna bedriva försäljning mot din marknad).
Däremot ska personuppgifterna vara korrekta och ska raderas när personen inte längre är aktuell som kund eller prospekt.
I en e-handels backend kan man t. ex. tänka sig att efter garantiperioden har gått ut så anonymiseras en kundorder så bara ordernummer finns kvar.
I ditt ekonomisystem är du däremot skyldig att spara fakturor med personuppgifter i minst 7 år.
Om du kontinuerligt har skickat nyhetsbrev till dina kunder så behöver du troligen inte inhämta nytt samtycke. Det är däremot inte tillåtet att plocka e-postadresser från andra företag eller nyhetslistor utan att först inhämta samtycke. Skickar du däremot till anonyma adresser som info@ så gäller inte dataskyddslagen

Undvik wow-faktorn i marknadsföringen

En bra regel är att en person inte ska reagera som “Vart sjutton har det här företaget fått tag i min e-postadress…” Undviker du wow-faktorn när du tänker direktmarknadsföring så går du säker.
Det är också tillåtet att rikta relevant reklam till en målgrupp utan samtycke. T. ex. det är tillåtet för Mazda att rikta ett erbjudande till mig som Mazda-ägare utan att inhämta samtycke. Däremot ska jag som tar emot reklamen kunna avsäga mig fler utskick.

 

Upprätta en förteckning över de system där ni hanterar personuppgifter.

Alla företag ska ha klart för sig i vilka system personuppgifter lagras och behandlas, i vilket syfte och om det finns lagligt stöd för det. Därför ska man dokumentera detta. Gör ett dokument med kolumner där du besvarar frågor enligt nedan:

 


Denna excel-mall kan beställas gratis från ReachMee här >>

 

Biträdesavtal

Har du några leverantörer som behandlar/har insyn i dina system? T. ex. ett lokalt it-företag som har åtkomst till företagets system? Då ska du teckna biträdesavtal med dessa. Det finns flera gratis mallar om du googlar på “biträdesavtal exempel mall”
Är det en engångsföreteelse så kan ett enkelt biträdesavtal via mail räcka där leverantören bekräftar att personuppgifterna endast får användas i det syfte du bestämmer.

PS: Glöm inte att själv radera dokumentet i din utkorg när du har sänt det till leverantören. Dokument med personuppgifter ska inte ligga i din mail och skräpa även om du har samtycke från kunden att behandla personuppgifterna. 

 

Allmänt skydd av personuppgifter på kontoret

Lösa papper med personuppgifter ska inte ligga framme på skrivborden utan åtminstone under pågående ärende ligga skyddade i skrivbordslåda.
Dokument med känsliga personuppgifter ska alltid vara inlåsta när de inte aktivt arbetas med. Informera personalen om vikten av skydd av personuppgifter.

Tystnadsplikt, känsliga personuppgifter

Hanterar du till viss mån känsliga personuppgifter löpande? Se till att samtliga medarbetare tecknat avtal om tystnadsplikt.

En känslig personuppgift är t. ex. information om människors hälsotillstånd. Om du arrangerar en konferens med lunch så betraktas information om allergier som känslig information. Du måste samla in uppgiften (det ligger i konferensgästens intresse) men du behöver inte sprida namnen till restaurangen, bara antalet måltider med avvikande kost. Bedömer du t. ex. att du behöver spara ett dokument deltagande gäster på din hårddisk så ska du absolut radera informationen om allergier. Du ska heller inte spara dokumentet längre än nödvändigt (tills ditt ändamål med att spara det är uppnått).

Lösenord

Alla har ett ansvar att ha lösenord som är personligt och säkert. Enligt dataskyddslagen ska du ha ett grundläggande skydd för att obehöriga kan komma åt information på datorer och servrar. Lösenords-kulturen är ett bra sätt att börja.
Ett bra lösenord är långt. Ett knep är att hitta på en nonsensmening som lösenord, t. ex. ”ekorren hoppar högt mellan träden på våren” vilket är mycket säkrare än t ex ”liselott76”.

E-post gallringsrutin

När ni får e-post med personuppgifter – vilket man får väldigt ofta – ska detta raderas när det har behandlats. Det är inte längre tillåtet att ha e-post som allmänt arkiv. Skapa en gallringsrutin på företaget där ni t. ex. beslutar att e-post med personuppgifter raderas efter behandling. Mailade bilagor med personuppgifter sparar du på annat sätt om det anses berättigat (intresseavvägning).

Årsvis raderar du t. ex. samtliga mail i in- och utkorgen (mail över ett år gamla behövs sällan och det som behövs, t. ex. överenskommelser med leverantörer, sparar ni på annat sätt).

SMS på företagstelefoner bör också ha en gallringrutin så att du raderar SMS enligt gallringsrutinen för e-post ovan.

Gallring på hårddiskar

Har du gamla dokument med personuppgifter som i stort sett bara ligger och skräpar på datorn? Gallra bort dessa. Inför en rutin att dokument med personuppgifter som är behandlade och inte längre behövs ska gallras bort omgående. Det underlättar i den dagliga verksamheten om alla på företaget har en sådan rutin.

 

Övriga dokument med personuppgifter som ska eller bör sparas

Det finns naturligtvis dokument med personuppgifter ni inte får gallra bort och det är sådant som t. ex. går under bokföringslagen som fakturor.
Även personalakter behöver sparas efter anställningens upphörande (för att kommunicera med pensionsmyndighet eller ge referenser till andra företag). Du bör dock gallra bort information om anhöriga, information om hälsotillstånd osv.
Du måste fråga en arbetssökande om du får spara en ansökningshandling för framtiden.

 

Läs på om dataskydd för småföretag på mindre än en halvtimma

På sidan https://www.foretagarna.se/driva-eget-foretag/gdpr/gdpr-for-sma-foretag/ finns ett par bra länkar till kortfattade infografer som är lätta att förstå och är speciellt riktade till småföretag.

Behöver du hjälp att bena ut hur du ska arbeta proffsigt med dataskydd? Kontakt mig. Du kan vinna både kunder och samarbetspartners på att ha en tydlig profil i hanteringen av personuppgifter.