Preloader
 

Hur redo är du för GDPR?

Home / Hur redo är du för GDPR?

Laglighet, rättvisa och öppenhet

Ditt företag har utfört en kartläggning av flödena med personlig data?

Du borde organisera en kartläggning av allt flöde av personlig data i hela ditt företag och inom specifika affärsområden. Intervjua de personer som arbetar med personlig data.

Detta kommer att identifiera de data som du behandlar och hur det går igenom, och sedan ut från ditt företag.

Kom ihåg att ett informationsflöde kan innefatta en överföring av information från en plats till en annan. Informationen kan till exempel ligga kvar inom din verksamhet, men en överföring sker eftersom avdelningen eller annat kontor ligger någon annanstans (utanför platsen).

Efter att ha granskat din information borde detta kunna hjälpa dig identifiera eventuella risker.

 

 
 
 

Laglighet, rättvisa och öppenhet

Ditt företag har dokumenterat vilka personuppgifter som finns i era system, hur de har samlats in, vem du delar de med och hur du använder personuppgifterna?

När du har slutfört din informationsrevision borde du dokumentera dina resultat, till exempel i ett register.

Genom att göra detta kommer du också att hjälpa dig att följa GDPR: s ansvarighetsprincip. Denna kräver att ditt företag ska kunna visa hur du följer GDPR-principerna, till exempel genom att ha effektiva rutiner och vägledning för personal.

Du kan vara skyldig att göra dessa poster tillgängliga för Datainspektionen på begäran.

 

 
 
 

Laglig grund för behandling av personuppgifter

Ditt företag har identifierat dina lagliga grunder för att bearbeta och dokumentera personuppgifter.

Du måste identifiera din lagliga grund innan du kan behandla personuppgifter.

Det finns sex tillgängliga lagliga baser för bearbetning. Ingen enda grund är bättre eller viktigare än de andra. Grunden som är mest lämplig beror på ditt syfte med bearbetning och förhållande till individen.

Sammanfattningsvis är de sex lagliga baserna följande:
1. Samtycke: Individen har givit ett tydligt samtycke till att du kan bearbeta personuppgifter för ett visst ändamål.
2. Kontrakt: Behandlingen är nödvändig för ett kontrakt du har med individen, eller för att de har bett dig att vidta särskilda åtgärder innan du ingår ett kontrakt.
3. Laglig skyldighet: behandlingen är nödvändig för att du ska följa lagen (inte inklusive avtalsförpliktelser).
4. Viktiga intressen: behandlingen är nödvändig för att skydda någons liv.
5. Offentlig uppgift: Behandlingen är nödvändig för att du ska kunna utföra en uppgift av allmänt intresse eller för dina officiella funktioner, och uppgiften eller funktionen har en tydlig grundlag i lag.
6. Berättigade intressen: Behandlingen är nödvändig för dina legitima intressen eller en tredje parts legitima intressen, såvida inte det finns ett bra skäl att skydda individens personuppgifter som strider mot dessa legitima intressen. (Detta kan inte gälla om du är en offentlig myndighet som behandlar data för att utföra dina officiella uppgifter.)

Om du behandlar data för särskild kategori eller brott måste du identifiera både en laglig grund för allmän bearbetning och ytterligare ett villkor (artikel 9) för behandling av denna typ av data. Du måste även informera de individer om hur du tänker behandla deras personuppgifter och vad din lagliga grund är för att göra det.

 

 
 
 

Samtycke

Ditt företag har granskat hur du begär och registrerar samtycke?

GDPR sätter en hög standard för samtycke, men kom ihåg att du ofta inte behöver samtycke. Du bör också bedöma om en annan laglig grund är mer lämplig.

Samtycke innebär att människor får äkta val och kontroll över hur du använder deras data. Du kan bygga förtroende och förbättra ditt rykte genom att använda samtycke korrekt.

GDPR bygger på 1998 års lagen om samtycke i flera områden och innehåller mycket mer detaljer:

  • Du bör hålla dina samtycksförfrågningar framträdande och åtskilda från andra villkor.
  • Sök ett positivt svars alternativ, såsom okryssade opt-in-rutor eller liknande aktiva opt-in-metoder.
  • Undvik att ge samtycke för en förutsättning för service.
  • Tillåt enskilda att samtycka separat till olika ändamål och typer av bearbetning, där det är lämpligt.
  • Namn på ditt företag och några specifika tredje part organisationer som kommer att förlita sig på detta samtycke.
  • Uppgifter om vad en person har samtyckt till, inklusive var, när och hur de samtyckte.
  • Berätta för individer att de kan återkalla samtycke när som helst och hur man gör det.

 

 
 
 

Samtycke

Ditt företag har system för att granska och hantera pågående samtycke.

Dina skyldigheter slutar inte när du först får samtycke. Du bör fortsätta att granska samtycke som en del av ditt pågående förhållande med individer, inte en enstaka compliance-box för att kryssa och lämna filen.

Håll samtycke under granskning och uppdatera om något ändras. Du bör ha ett system eller en process för att hantera förändringar.

Om ditt nuvarande samtycke inte uppfyller GDPR: s höga standarder eller är dåligt dokumenterat måste du söka ett nytt samtycke från GDPR eller identifiera en annan laglig grund för din behandling (och se till att fortsatt bearbetning är rättvis) eller sluta bearbetningen och radera personuppgifterna.

 

 
 
 

Question 1 of 5