May 21, 2018

GDPR – så här gör du


Från 25 maj 2018 börjar Dataskyddsförordningen eller GDPR - General Data Protection Regulation - gälla som lag i Sverige.


Dataskyddsförordningen ersätter personuppgiftslagen (PUL) och innebär hårdare krav på hantering av personuppgifter. Syftet med förordningen är att skapa enhetliga dataskyddsregler inom hela EU och den påverkar alla branscher, företag och organisationer.

Om ett företag missköter hanteringen av personuppgifter kan Datainspektionen, som är tillsynsmyndighet döma ut en sanktionsavgift på upp till 4 % av årsomsättningen.
Här har MVR och SINF sammanställt ett översiktligt tillvägagångssätt för att anpassa din verksamhet till GDPR. Medlemmar i MVR eller Stål & Mekan så kan du alltid ringa Sinfs jurister för mer information.

Att-göra-lista

1. Bestäm vad ni ska använda sparade personuppgifter till.
För in detta som grundfråga i alla led – Vad är syftet med att jag lagrar denna uppgift?
Varför behöver vi registrera denna uppgift? Vilka uppgifter sparas? Hur länge behöver personuppgifterna sparas?
Kom ihåg att man gör skillnad på ”vanliga” personuppgifter och s.k. känsliga personuppgifter. De sistnämnda kräver extra omsorg och skydd och innefattar sjukdomshistoria, politisk åsikt, sexuell läggning, religion osv.

2. Se till att ni har rättslig grund för behandlingen av alla personuppgifter ni hanterar.
Rättslig grund får ni genom:
-Avtal
-Samtycke
-Andra rättsregler

(För full lista på rättsliga grunder –www.mvr.se)

Avtal
Om man ingår i ett avtal med en motpart, så anses denne ha förstått och accepterat att lagring av dennes personuppgifter kommer att ske, eftersom det ofta är en förutsättning för att avtalet ska kunna fullgöras. Exempel är avtal med leverantörer och kunder, men också anställningsavtalen man ingått med sina anställda.

Samtycke
Det så kallade ”passiva samtycket” – med förkryssade rutor på webben med hänvisning till pytteliten text där den registrerade på ett luddigt sätt informeras om behandlingen – kommer inte att fullgöra kraven i GDPR. Genom GDPRs inträde kommer man alltså inte acceptera att den registrerade ”inte sagt nej” – för att uppnå rättslig grund. Samtycke kräver ett rakt, otvetydigt rungande JA till behandlingen. Observera att man fortfarande kan använda samtycke i ruta men man måste informera på ett mycket tydligare sätt än innan (se nedan).

Andra rättsregler
Det finns några specialfall där personuppgifter får lagras utan stöd av samtycke eller avtal, och det är om det är nödvändigt för att kunna uppfylla en rättslig förpliktelse. Ett exempel är att personuppgifter som förekommer i bokföringen och omfattas av bokföringslagen inte påverkas av införandet av GDPR. Övriga specialfall gäller i princip inte små- och medelstora företag i verkstadsindustrin.

I samband med frågan om samtycke måste information lämnas om exempelvis ert företags identitet och ändamålet med personuppgiftsbehandlingen. Dataskyddsförordningen kräver även att man på ett kortfattat men tydligt sätt informerar om de rättsliga grunderna för behandlingen, hur länge personuppgifterna ska lagras och att eventuella klagomål på er behandling ska lämnas hos Datainspektionen. Glöm inte att detta även gäller om ni använder kakor (cookies) på er webbplats för att logga besökare, samtycke och information. Som medlem kan du logga in på MVRs medlemssidor (www.mvr.se/medlemsservice/login) och ta del av ett exempel på lämplig information att ha på hemsidan.

3. Rensa bort alla personuppgifter ni inte har laglig grund att spara.
Tänk på att den s.k. missbruksregeln som finns i PUL tas bort. Missbruksregeln innebär att man får behandla personuppgifter i så kallat ostrukturerat material så länge det inte utgör en kränkning av den registrerades personliga integritet. Typexempel på ostrukturerat material är behandling av personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar och e-mail. Enkla listor är också exempel på ostrukturerat material. Man kan sammanfattningsvis, lite förenklat säga att material som inte är sökbart utgör ostrukturerat material.

Det här betyder att personuppgifter även i så kallat ostrukturerat material måste överses, definieras rättslig grund för eller annars gallras innan GDPR träder i kraft 25 maj 2018.

4. Inför en rutin för hur ni kan tillgodose de registrerades rättigheter.
De viktigaste rättigheterna för de registrerade är att kostnadsfritt få tillgång till sparade personuppgifter. De registrerade ska även kunna få sina personuppgifter raderade om så önskas, kunna invända mot att personuppgifterna används i direktmarknadsföring, få felaktiga personuppgifter rättade, få sina personuppgifter flyttade (dataportabilitet) med mera.

5. Inför en rutin för gallring av personuppgifter.
Företag får inte lagra personuppgifter under längre tid än vad som är nödvändigt för att uppfylla det syfte för vilka de samlades in. En rutin för att med jämna mellanrum rensa register, CRM-system, andra databaser eller dokument från personuppgifter ska finnas på företaget.

6. Inför en rutin för personuppgiftsincidenter
En personuppgiftsincident är exempelvis ett dataintrång eller annat som innebär att ni förlorar kontrollen över de uppgifter ni behandlar, och som innebär att de registrerades rättigheter hotas. En rutin för hantering av sådana incidenter ska finnas på företaget. Ett av kraven är att alla sådana händelser måste dokumenteras. Om det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste händelsen rapporteras till Datainspektionen inom 72 timmar.

7. Utse en personuppgiftsansvarig i organisationen.
En så kallad personuppgiftsansvarig ska finnas och kunna visa att förordningen följs. Personuppgiftsansvarig är normalt den som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Denna person kan också företrädesvis vara den man har som kontaktperson utåt som de registrerade kan framställa eventuella frågor och synpunkter till.

8. Se till att ni har tillräckligt skydd för personuppgifterna.
Företag måste implementera såväl tekniska som organisatoriska säkerhetsåtgärder för att skydda personuppgifter som behandlas. IT-system behöver ha ett tillräckligt skydd för personuppgifterna man behandlar. De anställdas bärbara datorer och mobiler bör vara skyddade av koder eller lås.

Som medlem i MVR eller Stål & Mekan kan du logga in på MVRs medlemssidor (https://mvr.se/medlemsservice/login) och ta del av ett exempel på rutin anpassad efter GDPR. Saknar du lösenord, hör av dig till Björn Uppfeldt. MVR ger även seminarier om GDPR, se www.mvr.se/aktiviteter.

Vanessa von Zweigbergk, Sinf
Björn Uppfeldt, MVR och Stål&Mekan

MVR
PUL



  • Nov 16, 2018

    Sverige och Hannovermässan - a perfect match!

    Reportage Den 1-5 april 2019 vänds blickarna mot världens största industrimässa i Hannover och Sverige tar rollen som partnerland. Satsningen innebär en fantastisk möjlighet för våra svenska industriföretag att visa upp sig och knyta nya samarbeten.
    0
  • Nov 16, 2018

    Nu kommer Ford lättaste superbil

    Reportage Kolfiberhjul och en motorhuv av polykarbonat är några av hemligheterna bakom lättviktaren med wow-känsla!
    0
Loading...

MEST LÄSTA

SENASTE NYTT

  • Reportage

    Sverige och Hannovermässan - a perfect match!

    Den 1-5 april 2019 vänds blickarna mot världens största industrimässa i Hannover och Sverige tar rollen som partnerland. Satsningen innebär en fantastisk möjlighet för våra svenska industriföretag att visa upp sig och knyta nya samarbeten.
    0

  • Teknik

    Norelems dämpare levererar rätt struktur

    Eftersom chockabsorption och vibrationsstyrning är kritiskt för långsiktig maskinprestanda så erbjuder norelems sortiment av industriella dämpare en enkel och kostnadseffektiv lösning.
    12
  • Teknik

    Formfräsning produktivt och ekonomiskt

    Dormer Pramets familj med ekonomiska fräsverktyg har förstärkts med flertalet nya sortiment för medelfin bearbetning och finbearbetning inom formverktygstillverkning.
    18