13 frågor att besvara innan de nya GDPR-kraven går i kraft

De flesta har idag hört talas om EU:s nya dataskyddsförordning (GDPR), som träder i kraft den 25 maj 2018. Men vad innebär då den nya förordningen för din verksamhet i praktiken?

GDPR kommer bland annat att ersätta personuppgiftslagen (PuL) och kompletteras med vissa nationella regler, vilket kommer leda till hårdare krav på hantering av personuppgifter. Det kommer även att ställas krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå.


Syftet med de nya kraven är att skapa enhetliga dataskyddsregler inom hela EU så att företag kan verka på hela unionens inre marknad. Många av den nya dataskyddsförordningens begrepp och principer återfinns i personuppgiftslagens bestämmelser och om ni redan idag har genomarbetade åtgärder och rutiner för att säkerställa att personuppgiftslagen följs, kommer ni att ha en bra grund att utgå från inför de kommande kraven.


För att din organisation ska hinna anpassa verksamheten på ett effektivt och kostnadsbesparande sätt är det viktigt att redan nu börja fundera över vilka konsekvenser förordningen kommer att få för er.

Ta ställning redan idag till dessa 13 frågor ur Datainspektionens checklista och förbered dig inför införandet av de nya GDPR-kraven.

1. Är er organisation medveten om EU:s nya dataskyddsförordning? Försäkra er om att beslutsfattare och nyckelpersoner inom er organisation är medvetna om att personuppgiftslagen kommer att ersättas av dataskyddsförordningen.

2. Vilka personuppgifter hanterar ni? Inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut.

3. Använder ni missbruksregeln idag? Undersök om ni i er verksamhet har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Denna regel kommer inte att finnas kvar i förordningen.

4. Vilken information lämnar ni? Granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra.

5. Hur ska ni tillmötesgå de registrerades rättigheter? Se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt GDPR, exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format.

6. Med vilket rättligt stöd behandlar ni personuppgifter? Undersök vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Dokumentera era slutsatser.

7. Hur inhämtar ni samtycke? Undersök på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

8. Behandlar ni personuppgifter om barn? Fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online.

9. Vad ska ni göra vid personuppgiftsincidenter? Se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.

10. Vilka särskilda integritetsrisker finns med er behandling? Fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen.

11. Har ni byggt in skydd för personuppgifter i era IT-system? Ta hänsyn till dataskyddsförordningens regler när ni tar fram nya IT-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader.

12. Vem ansvarar för dataskyddsfrågor i er organisation? Bestäm var i er organisation som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud.

13. Har ni verksamhet i flera länder? Om er organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

Passa på att gå kursen M1612 Nya Dataskyddsförordningen - GDPR hos Informator. Det blir en heldagsworkshop tillsammans med Advokatfirman EdmarLaw AB där vi benar ut vilka nya krav som följer med den kommande dataskyddsförordningen och ta del av konkreta tips på hur ni kan förbereda er organisation och kunderna inför den.




Stephanie Ivanovic
Marketing & Web Sales

Skicka en kommentar

Trevligt att du vill dela med dig av dina åsikter! Tänk på att hålla på "Netiketten" och använda vårdat språk.