Din GDPR-guide för småföretag och föreningar

Vi vet hur roligt det är att äga och driva sitt eget företag, så länge man kan undvika de tråkiga sakerna förstås, Den nya GDPR förordningen riskerar att hamna i kategorin “tråkigt” - men du kan inte strunta i den, lika lite som att du kan strunta i att betala skatt och följa annan lagstiftning.

Vi försöker med denna handbok att hjälpa dig och ditt företag med en praktisk handledning över aktiviteter som ditt företag behöver göra för att följa GDPR. Se denna guide som ett sätt att kickstarta ditt företags resa med att efterleva GDPR.

Alla företag måste idag följa GDPR, den nya dataskyddsförordningen som ersatte PUL i maj 2018. Förordningen innebär att den gäller som lag i alla EU-länder, och brott mot dataskyddsförordningen kan bli allt från en anmärkning som du behöver åtgärda, till böter på upp till 4 procent av ditt företags omsättning.

Du kanske undrar om du fortfarande får hantera personuppgifter?

Svaret är: Självklart! Du behöver bara ha en så kallad rättslig grund för att få göra det. Detta går vi självklart igenom i denna guide.

Syftet med GDPR är i grunden någonting väldigt bra. Du kanske har följt nyheterna om hur personuppgifter har använts för att influera personer att rösta på ett visst sätt i olika val. GDPR är till för att skydda individens grundläggande rättigheter och friheter, vilket ska förhindra att uppgifterna missbrukas, utan kraftfulla påföljder.

Det är mycket möjligt att du av olika skäl inte kommer kunna följa GDPR till 100 procent – men det viktiga är att du gör så gott du kan! Med denna guide kommer du se till att ditt företag har gjort mycket mer för att följa GDPR än många andra, vilket är bra för er, och visar även för era kunder att ni tar deras rätt till personlig integritet på stort allvar.

Vet du vad en personuppgift är?

En personuppgift är allt som för sig själv eller tillsammans med annan information kan användas för att identifiera en fysisk, levande person. Om man tar på sig detektivhatten så inser man att det numera är väldigt mycket som klassas som en personuppgift: namn, e-post, IP-adress och mycket mer.

Med GDPR så behöver du berätta om hur du hanterar personuppgifter – detta gör du bland annat med din integritetspolicy. Med Konsento kan ni skapa och lägga till er integritetspolicy på hemsidan och sedan enkelt uppdatera den, utan att ni behöver blanda in någon IT-person.

För att veta hur du hanterar personuppgifter så behöver du först inventera och skapa en registerförteckning över din personuppgiftsbehandling.

Det är två väldigt långa ord du behöver ta tag i om du hanterar personuppgifter. GDPR säger att du behöver föra detta register om ditt företag eller din förening sysselsätter fler än 250 personer eller om behandlingen inte är tillfällig. Det vill säga, att föra ett kundregister som kontinuerligt uppdateras är inte att anses som tillfälligt.

Registret behöver föras digitalt och ska på begäran göras tillgängligt för Datainspektionen.

Vi hjälper dig med konkreta exempel och ger dig en mall som du kan använda för att skapa din egen registerförteckning.

Du är även ansvarig för att dina underleverantörer (tänk CRM-system och liknande) följer GDPR. En del i detta är att du ska etablera ett personuppgiftsbiträdesavtal (Data Processing Addendum). Vi ger dig färdiga texter du kan använda för att få in informationen som krävs från dina underleverantörer.

Hårdare krav på samtycken

Du har säkert lagt märke till alla ”samtyckesrutor” som kommer upp när du besöker olika hemsidor. Dessa används för att få dig att samtycka till olika personuppgiftsbehandlingar. Men visste du att med GDPR så är det inte längre tillåtet att dessa rutor är förkryssade?

Om du använder samtycke som rättslig grund för att hantera personuppgifter så behöver du nu kunna bevisa när samtycket gavs, och vilken information du gav till individen. Klarar du av detta idag?

Med Konsento får du ett avancerat samtyckeshanteringssystem och vi ger dig tips på hur du kan undvika en massa irriterande pop-ups på din hemsida.

Individens rättigheter

Med GDPR får varje EU-medborgare några ytterligare rättigheter som vi går in mer i detalj på. En viktig del är att individen kan använda sina rättigheter och att du har en kalendermånad på dig att agera.

Med PUL så kunde ni ta ut en liten serviceavgift, men i GDPR får ni inte längre göra det, såvida individen inte efterfrågar samma saker vid flera tillfällen, varpå ni då har möjlighet att faktiskt ta ut en avgift. Hur kommer du hålla koll på dessa förfrågningar?

Med Konsento får ni ett smidigt formulär där personer kan fylla i sina uppgifter för att använda sina rättigheter – samtidigt som ni får ett enkelt ärendehanteringssystem som håller koll på dessa förfrågningar och ser till att ingen fråga faller mellan stolarna.

När vi tog fram denna guide använde vi oss av information från Datainspektionens hemsida och Information Commissioner's Offices hemsida och våra egna erfarenheter av att hjälpa företag och organisationer att komma igång med sitt GDPR-arbete.

Alla företag hanterar personuppgifter på lite olika sätt vilket gör att denna guide inte kommer göra att du följer GDPR till 100 procent. Om du känner att du behöver experthjälp inom något område så är det alltid bäst att kontakta en oberoende jurist som är duktig på GDPR.

Genom att följa denna guide förstår du vilka specifika områden det är som du eventuellt behöver hjälp med, vilket gör att en jurist mycket snabbare kan hjälpa dig. Detta leder ofta till att kostnaden blir mycket lägre än om du inte hade följt denna guide.