GDPR, del 3: praktiska tips
GDPR och rätten att bli glömd
Under de senaste åren har rätten att bli bortglömd fått mycket uppmärksamhet. Den innebär att en individ kan begära att exempelvis Google tar bort sökresultat som kopplas till personen. Detta och mycket mer regleras i GDPR, EU:s dataskyddsförordning som började gälla den 25 maj 2018.
GDPR står för General Data Protection Regulation och styr hur företag får hantera personuppgifter.
Detta är tredje delen i en serie om GDPR. Första delen förklarar vad en personuppgift är, och andra delen beskriver förberedelser inför lagen.
I denna del fokuserar vi på hur du förbereder din verksamhet i praktiken.
Beredskap för GDPR
Beredskap för GDPR innebär att företag förbereder alla delar av verksamheten innan de börjar behandla personuppgifter. Företaget bygger upp struktur, rutiner och ansvar.
Företaget ser också till att rätt personer förstår sina uppgifter och arbetar enligt lagen.
Vem bär ansvaret?
GDPR anger att den personuppgiftsansvarige bär huvudansvaret. I praktiken betyder det att företaget ansvarar för att reglerna följs.
Företaget informerar också individer om varför det samlar in deras uppgifter och hur det använder dem.
Hjälp från tredje part
Företag anlitar ibland ett personuppgiftsbiträde när de hanterar stora mängder eller känsliga uppgifter. Detta gäller ofta webbplatser med användarregistrering eller system med omfattande databehandling.
En extern aktör hjälper företaget att följa reglerna och hålla systemen uppdaterade.
Företaget behåller dock ansvaret för hur uppgifterna hanteras. Både företaget och biträdet kan bli ansvariga om något går fel, beroende på avtal och situation.
Vad ansvarar företaget för?
Företaget måste tydligt definiera sitt ansvar. Det omfattar vilken information det samlar in, hur det använder den och hur det informerar användare.
Företaget lämnar informationen vid rätt tillfälle, till exempel vid registrering eller insamling av data.
Företaget anpassar också informationsflödet efter sin verksamhet och sina kunder.
Förebyggande arbete och riskhantering
Företag arbetar förebyggande genom att följa GDPR från början och skapa tydliga rutiner.
Samtidigt planerar de för situationer där problem uppstår. Då blir försäkringsskydd och juridisk strategi viktigt.
Företag använder ofta rättsskydd för att minska kostnader i tvister och fatta bättre beslut i rättsprocesser.
Sammanfattning
Ett bra GDPR-arbete bygger på tydligt ansvar, rätt struktur och korrekt informationshantering.
När företag kontrollerar dessa delar minskar de risken för problem och följer lagen på ett stabilt sätt.
