Lucka 18 - Vet du att nya lagen gäller för samtliga bolag?

---

Visst är det GDPR vi pratar om!

I maj 2018 så kommer den nya lagen som ersätter PUL och kommer inte bara beröra stora bolag eller bolag inom en viss bransch, utan alla bolag, stora som små. Det räcker med att du har uppgifter om anställda registrerade, en eller tusen stycken har ingen betydelse. 

Dataskyddsförordningen lägger stor vikt vid den personuppgiftsansvariges skyldighet att kunna visa att förordningen följs, vilket kommer att medföra krav på ökad dokumentation. Det kommer att införas möjligheter för tillsynsmyndigheten att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens omsättning när en organisation missköter sin behandling av personuppgifter.

En anpassning till dataskyddsförordningen kommer kräva att ni ser över er interna styrning och era riktlinjer för hur ni hanterar personuppgifter.

Datainspektionen är den myndighet som kommer att bidra till att nya lagen efterlevs, och blir det mycket jobb initialt kommer dom också kunna ta hjälp av kollegor runt om i EU.

Här kommer ett klipp från Inspektionen angående nya lagen: 

https://www.youtube.com/watch?time_continue=4&v=cDnid38Lr_8 

---


Vilka delar bör ni se över? 

Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Exempelvis om en kund begär att sina uppgifter ska raderas behöver ni veta exakt vart uppgifterna finns. Ni kan behöva göra en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av er organisation. 

 

• Ni bör se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen. 

• Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser.

• Ni bör undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

• Ni bör redan nu fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online.

• Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.

• Ni bör bestämma var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud.

• Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

---

Följ oss på social media