[GDPR-KONSULT]

Vad innebär GDPR?

GDPR står för General Data Protection Regulation men på svenska säger vi Dataskyddsförordningen. Det är en lag som EU enats kring och som trädde i kraft den 25 maj 2018. Alla verksamheter som hanterar personuppgifter måste följa dataskyddsförordningen (GDPR) vilket bl.a. innebär att man behöver följa de grundläggande principerna, se till att alla personuppgiftsbehandlingar har en rättslig grund och informera de registrerade om hur hanteringen av deras personuppgifter sker. Viktigt är att dokumentera hur man har tänkt och hur man gör kontinuerligt. 

Behöver din organisation hjälp med GDPR/dataskyddsfrågor?

Anlita en GDPR-konsult

Vad gör en GDPR-konsult egentligen?

En GDPR-konsult kan hjälpa din verksamhet med allt som rör personuppgiftsbehandling och dataskydd. Exempelvis kan det handla om att ta reda på vilka personuppgifter som samlas in, hur de samlas in och i vilket syfte. Vidare kan GDPR-konsulter vara behjälpliga i att ta fram riskanalyser och åtgärdsplaner, implementera nya rutiner och författa styrdokument. De ger dig alltid handfasta tips och råd och kan även vägleda er om en person begärt ett registerutdrag eller i interna val av exempelvis säkra programvaror och säkerhetssystem. 

En GDPR-konsult kan ha arbetsuppgifter såsom att: 

  • Kartlägga vilka personuppgifter verksamheten hanterar
  • Riskbedöma de olika personuppgiftsbehandlingarna 
  • Ta fram åtgärdsplaner 
  • Implementera nya arbetssätt 
  • Följa upp det ständigt pågående GDPR-arbetet 
  • Skapa rutiner och instruktioner  
  • Få all nödvändig dokumentation på plats 
  • Författa policys såsom integritetspolicy/dataskyddspolicy, gallringspolicy, incidenthanteringpolicy, IT-policy  
  • Utbilda personal kring GDPR och IT-säkerhet 
  • Se till att GDPR efterlevs inom organisationen 
  • Stödja informationssäkerhetsutvecklingen 

Vad händer om man inte följer GDPR?

Företag som inte följer GDPR kan straffas med höga böter. Ändå är det få som satt sig in i reglerna. I Sverige har Integritetsskyddsmyndigheten (IMY) ansvaret att se till att reglerna i GDPR efterlevs. Slarv, okunskap och naivitet är inget försvar – som företagare måste du kunna bevisa att lagen följs. Hur höga böterna blir är en bedömningsfråga i varje enskilt fall, men bötesbelopp på upp till 20 miljoner Euro eller 4% av den globala årsomsättningen kan utfärdas, beroende på vilket belopp som är högst. Detta för att även kunna få de stora globala koncernerna att leva upp till bestämmelserna. Utöver att det kan bli dyrt att inte följa reglerna kan det ven bli dålig publicitet för verksamheten. 

Skulle det kännas tryggt med en extern genomgång av de åtgärder ni hittills har vidtagit?

Då hjälper vi dig med specifika delar eller med helheten!

”Alla verksamheter måste följa dataskyddsreglerna vid behandling av personuppgifter.”

Utbildning & Kommunikation

Behöver du höja kompetensen generellt runt ämnet GDPR? Kanske få en uppdatering rörande senaste nytt, eller få information om något specifikt exempelvis vad som gäller rörande kameraövervakning? 

Något som är värt att tänka på är att den främsta orsaken till att personuppgiftsincidenter sker är den mänskliga faktorn. Se till att hålla dialogen igång internt rörande dataskydd och IT-säkerhet. Alla berörda inom er verksamhet måste ha klara och tydliga instruktioner så att personuppgiftsbehandlingarna är säkra och lagliga. Ingen otillåten personuppgiftsbehandling ska kunna ske. 

Vi kan anorda en föreläsning, en workshop alternativt ett videomöte eller webinar som rör ämnet GDPR för din verksamhet. Vi erbjuder även öppna frågestunder där ni kan ställa frågor direkt till oss rörande dataskydd. Om du har andra önskemål så kan vi med största sannolikhet tillgodose dem med. Hör av dig så pratar vi närmare om det! 

Styrdokument

Att ha tydliga styrdokument rörande GDPR är viktigt, men det viktigaste är att de inte enbart blir skrivbordsprodukter, utan fungerar som stöd i det dagliga arbetet. 

Behöver du hjälp att författa policys för ditt företag såsom exempelvis en integritetspolicy och/eller en IT-policy? Saknar ditt företag handfasta rutiner och checklistor? Behöver ni hjälp att implementera dem? Våra GDPR-konsulter hjälper dig! 

GDPR

Våra paketerade tjänster

GDPR kan kännas svårt och jobbigt, vi vet! Men vårt mål är att du som företagare och anställd ska se GDPR-arbetet som ett stöd för dig själv och verksamheten. 
Vi har tagit fram två olika GDPR-paket för små och medelstora företag: 

Mallpaket

Dataskyddspolicymall – intern och extern
IT-policymall
Biträdesavtalsmall
Incidenthanteringsmall
Efterlevnadsmall

Registerförteckningar rörande:
Intern information
Samtycken
Incidenter

Pris: 9 900 SEK

Handledarpaket

Kartläggning personuppgiftsbehandlingar
Laglig grund för behandlingarna
Kartläggning system
Förslag på gallringsrutiner
Behov av biträdesavtal
Analys kring ev. tredjelandsöverföring 

Pris: 29 900 SEK

Övrig GDPR-rådgivning såsom exempelvis riskanalyser, framtagning av åtgärdsplaner och utbildning debiteras löpande per timme. 

Passar inget av paketen dig? Hör av dig så skräddarsyr vi något för just din verksamhet! 

Vanliga frågor

Vad står GDPR för?

Det är en förkortning av General Data Protection Regulation 

Vad säger vi på svenska?

Dataskyddsförordningen är den svenska översättningen på GDPR, men många. 

Vilka berörs av GDPR?

Alla verksamheter som hanterar personuppgifter berörs! Det är därför viktigt att man har rutiner och policys  plats och ser till att dessa följs det kan bli kännbara sanktionsavgifter om man bryter mot reglerna
Utöver att följa dataskyddsförordningen måste verksamheter kunna påvisa att och hur bestämmelserna följs.

Vad är IMY?

IMY är en förkortning av Integritetsskyddsmyndigheten, före detta Datainspektionen, och är en svensk statlig förvaltningsmyndighet som har till uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter, att underlätta det fria flödet av sådana uppgifter inom Europeiska unionen och att verka för att god sed iakttas i kreditupplysnings-och inkassoverksamhet. Myndigheten ska följa, analysera och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik. 

Dataskydd för verksamheter | IMY

Vad är en personuppgift?

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Det kan röra sig om exempelvis namn, mobilnummer, personnummer, kontonummer eller ett foto. Det finns personuppgifter som klassas som extra skyddsvärda respektive känsliga.

 

Vad är en personuppgiftsbehandling?

Med behandling av en personuppgift avses i princip allt man kan göra med personuppgifterna. Det kan till exempel vara att samla in, lagra, flytta, radera eller skriva ut uppgifterna.

 

Vem är personuppgiftsansvarig?

Personuppgiftsansvarig är den som beslutar om att uppgifter ska samlas in samt till vilket ändamål de ska användas. I ett aktiebolag är det den juridiska personen, själva bolaget, som är personuppgiftsansvarig. Om det däremot handlar om en enskild firma eller en privatperson som hanterar uppgifter på ett sätt som faller inom ramarna för förordningen så är det den fysiska personen som är personuppgiftsansvarig.

 

Vad är ett personuppgiftsbiträde?

Ett personuppgiftsbiträde är den som för personuppgiftsansvariges räkning och enligt den personuppgiftsansvariges instruktioner behandlar personuppgifter. Det kan till exempel vara en leverantör av en molntjänst eller en extern IT-supportfunktion.

När behövs ett personuppgiftsbiträdesavtal?

GDPR anger två situationer då ett personuppgiftsbiträdesavtal behöver ingås. Första situationen rör när ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga. Den andra situationen rör när ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar. I bägge situationerna behöver bindande biträdesavtal ingås. 

Vad är en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.  

Vad gäller vid personuppgiftsincidenter?

Den personuppgiftsansvarige är skyldig att vid personuppgiftsincident inom 72 timmar anmäla incidenten till Integritetsskyddsmyndigheten (IMY). Undantag från denna skyldighet gäller om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Beslutet att inte anmäla måste då dokumenteras inför en eventuell kontroll.

 

Vad gör jag när en person ber om att få sina personuppgifter raderade?

En av de registrerades grundläggande rättigheter är rätten att få sina uppgifter raderade, ”bli bortglömd”. Begär en person att få sina personuppgifter raderade är utgångspunkten att ni ska radera dessa. Det finns dock några undantag när uppgifterna inte ska raderas. Undantagen blir ofta tillämpliga om den personuppgiftsansvariga är en myndighet eller utför en uppgift av allmänt intresse. Ni kan bland annat neka den registrerade radering om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, 
för att uppfylla en rättslig förpliktelse eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Oavsett om ni ska radera uppgifterna eller har ett skäl att behålla dem, ska ni återkomma till den registrerade utan onödigt dröjsmål, det vill säga senast inom en månad efter att ni har fått begäran. 

Vad innebär de grundläggande principerna som måste följas?

De grundläggande principerna kan sägas vara kärnan i dataskyddsförordningen. Principerna innebär bland annat att ni som personuppgiftsansvariga  

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter  
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål 
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen 
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs 
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det 
Gäller GDPR endast inom EU?

EU anser att dess medborgares personuppgifter ska skyddas i största möjliga mån även utanför EU:s gränser. Därför omfattar lagen all behandling av EU-medborgares personuppgifter, oavsett om företaget eller organisationen som genomför behandlingen är lokaliserad inom EU eller inte. En e-handel i Kina som vänder sig till EU-medborgare omfattas således av GDPR på samma sätt som ett företag i Sverige.

 

Vad menas med överföring till tredjeland?

Överföring av personuppgifter till tredjeland är som regel när personuppgifter görs tillgängliga för någon i ett land utanför EU/EES-området. Exempel på överföring av personuppgifter till tredjeland kan vara:

  • När ni skickar dokument som innehåller personuppgifter per e-post till en mottagare i ett land utanför EU/EES. 
  • När ni anlitar ett personuppgiftbiträde i ett land utanför EU/EES. 
  • När ni ger någon utanför EU/EES tillgång, exempelvis läsbehörighet, till personuppgifter som finns lagrade inom EU/EES.
  • När ni lagrar personuppgifter i en molntjänst som är baserad utanför EU/EES.

OBS! Att publicera något på internet är inte tredjelandsöverföring om webbplatsen lagras hos en internetleverantör som är etablerad inom EU/EES. 

De grundläggande principerna

All hantering av personuppgifter behöver uppfylla ett antal grundläggande principer vilka listas här: 

  • Laglighet, Korrekthet och Öppenhet 
  • Ändamålsbegränsning 
  • Uppgiftsminimering 
  • Riktighet 
  • Lagringsminimering
  • Integritet och konfidentialitet 
  • Ansvarsskyldighet 
Rättslig grund

Varje personuppgiftsbehandling måste ha stöd i någon av de sex rättsliga grunderna: 

  • Samtycke 
  • Avtal med den registrerade 
  • Rättlig förpliktelse 
  • Skydda grundläggande intresse 
  • Myndighetsutövning och uppgift av allmänt intresse 
  • Intresseavvägning 
De registrerades rättigheter

Den registrerade, vars personuppgifter behandlas, har ett antal rättigheter enligt dataskyddsförordningen. Som personuppgiftsansvarig har man ett ansvar för att ha rutiner på plats för att hantera begäranden om att utöva dessa rättigheter när någon begär det.

  • Rätt till information 
  • Rätt till tillgång 
  • Rätt till rättelse 
  • Rätt till radering 
  • Rätt till begränsning av behandling 
  • Rätt att göra invändningar 
  • Rätt till dataportabilitet 
  • Automatiserade beslut

Kontakta oss direkt!

REKRYTERING

HR-KONSULT

KARRIÄRCOACH

HEM