GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Efterlevnad av GDPR

Företag bör upprätta skriftliga rutiner 

Företag bör upprätta skriftliga rutiner för att enklare och effektivare följa reglerna i GDPR. 

Företag måste kunna visa att de följer GDPR

Enligt principen om ansvarsskyldighet, måste företag kunna visa att de följer GDPR i praktiken. Med andra ord behöver varken registrerade eller tillsynsmyndigheter bevisa att företag bryter mot GDPR. Istället ligger bevisbördan avseende regelefterlevnaden på företaget som är den personuppgiftsansvarige. Därför behöver företag bland annat ha vissa GDPR-relaterade avtal och dokument, såsom olika rutiner. 

What breaches of the GDPR can lead to an administrative fine?

Rutiner skapar struktur och minskar risken för misstag

Företag bör upprätta skriftliga rutiner för att skapa en tydlig struktur för medarbetarna. Dessutom minskar risken för misstag, om rutinerna är tydliga och enkla för medarbetarna att följa. Det finns därmed flera fördelar med att skapa skriftliga rutiner.

Vilka rutiner är bra för företag att upprätta?

Vilka exakta rutiner som varje enskilt företag behöver går inte att besvara på ett standardiserat sätt, eftersom behoven är olika beroende på situationen. En god utgångspunkt är att ju större företaget är, inklusive mängden avdelningar och medarbetare på bolaget, desto bättre är det med fler rutiner för att skapa en tydlig struktur och minska risken för misstag. 

Rutiner för gallring av personuppgifter

Företag behöver gallra personuppgifter när de inte längre är nödvändiga att behandla för ändamålet de blev insamlade. Detsamma gäller om den registrerade begär att få sina personuppgifter gallrade. Företag kan dock i vissa fall anonymisera personuppgifterna, istället för att radera dem. Dessutom finns det fall där personuppgifter inte ska gallras. Exempelvis om företaget har en rättslig förpliktelse att fortsätta behandlingen, alltså att det står i en lag att personuppgifterna måste behandlas.

Rutiner för att tillgodose registrerades rättigheter

De registrerade har ett antal rättigheter enligt GDPR. Företag måste kunna tillgodose dem och därför är det bra att upprätta rutiner för hur medarbetarna ska gå tillväga. Det finns åtta (8) grundläggande rättigheter reglerade i artiklarna 15-22 i GDPR, men det finns även fler än så. Företaget måste bland annat hantera begäran inom en angiven tidsfrist och meddela de registrerade om hanteringen. 

Rutiner för onboarding och offboarding

Det är bra att ha rutiner för när nya medarbetare börjar på ett företag och när någon slutar. Med andra ord rutiner för onboarding och offboarding. Om ett företag saknar sådana rutiner är det större chans att det uppstår en personuppgiftsincident. Det är nämligen vid övergångsperioder (det vill säga, när en ny medarbetare tillträder sin arbetsroll eller när en anställd avgår) som sårbarheten är som störst. 

Rutiner för delning av data internt

Det är vanligt med delning av personuppgifter mellan medarbetare inom ett företag. Dessutom är det enkelt att göra misstag om det inte finns tydliga rutiner som är enkla att följa. Det är bra att definiera vilka personuppgifter som får delas internt och genom vilka kommunikationskanaler. Ju viktigare personuppgifter, desto säkrare kommunikationskanaler krävs. 

Rutiner för inhämtning och återkallelse av samtycke

Företag måste kunna visa att de inhämtar ett giltigt samtycke. Det innebär bland annat att samtycket ska vara frivilligt och aktivt lämnat. Dessutom har registrerade rätt att när som helst återkalla samtycket. Det ska vara lika enkelt att återkalla ett samtycke som att ge det. Efter återkallelsen, ska personuppgifterna raderas och den registrerade meddelas. Därför är det bra att ha rutiner kring dessa processer, så att medarbetarna sköter dem korrekt. 

Observera att det inte finns något förbud mot muntliga samtycken, men att de är svåra att bevisa, vilket företaget måste kunna göra för att det ska vara giltigt.

Rutiner för hantering av sociala medier och fotografering

Det kan vara enkelt att glömma att det sker behandlingar av personuppgifter i sociala medier som företaget kan vara personuppgiftsansvarig för. Med andra ord är det inte bara plattformsleverantören som har ett ansvar, utan även företaget som har ett användarkonto där och behandlar personuppgifter via plattformen. Exempelvis om företaget har en form av kundtjänst på sociala medier eller lägger upp bilder på anställda på sociala medier. Företag måste bland annat radera personuppgifter från sin inkorg i sociala medier regelbundet, eftersom det sker en behandling av personuppgifter där. 

Mer info

Bedömningar som företag kan behöva göra

Det finns olika bedömningar som företag kan behöva göra enligt regler i GDPR, antingen innan vissa behandlingar av personuppgifter påbörjas eller i vissa fall under en pågående behandling. Exempelvis intresseavvägning (LIA) för att bedöma huruvida företaget har ett berättigat intresse för en viss behandling. Två andra är konsekvensbedömning av dataskydd (DPIA) och konsekvensbedömning av dataöverföringar (DTIA). Observera att företag måste begära ett förhandssamråd med den nationella dataskyddsmyndigheten i vissa fall, men innan dess måste företaget ha genomfört en konsekvensbedömning. 

Vill du lära dig mer?

Klicka här
Rulla till toppen