GDPR – dataskyddsförordningen
Här hittar du information om GDPR, checklistor och mallar. Sedan den 25 maj 2018 gäller EU:s dataskyddsförordning GDPR – General Data Protection Regulation. GDPR trädde i kraft i samtliga EU-länder från samma tidpunkt eftersom det är en förordning. Förordningen är en kompromiss och lagstiftningen har anpassats till respektive land.
Från den 1 januari 2021 har Datainspektionen bytt namn till Integritetsskyddsmyndigheten, (IMY).
Srf konsulterna bevakar utvecklingen kring GDPR och har utformat utbildningar, checklistor och mallar i takt med att Integritetsskyddsmyndigheten släppt direktiv och vägledning kring GDPR.
GDPR stöd
Checklista för ditt GDPR-arbete (ingår även i vårt kostnadsfria digitala självtest)
Integritetsskyddsmyndigheten (IMY) enkla guide
Personuppgiftsbiträdesavtal (avtalsmall för dig som är medlem eller har Srf Servicepaket, inloggning krävs)
Information om personuppgiftsbiträdesavtalet
Mall inventering GDPR (mall för dig som är medlem eller har Srf Servicepaket, inloggning krävs)
Mall integritetspolicy (mall för dig som är medlem eller har Srf Servicepaket, inloggning krävs)
Branschkod GDPR – GDPR i Löneprocessen av Srf Lönsam
Anmälan personuppgiftsincidenter till Integritetsskyddsmyndigheten
IMY:s publikationer (Ställningstaganden, vägledning, rapporter)
European Data Protection Boards (EDPB) riktlinjer
Srf Utbildning i GDPR
-specialanpassat för redovisnings- och löneverksamheter
GDPR onlinekurs
Vi tittar bland annat på vem som har ansvar, vad som är tillåtet och de utökade kraven på dokumentation. Kursen vänder sig främst till dig som jobbar med löner, redovisning, ekonomi och praktiska HR-frågor i ditt dagliga arbete och därmed hanterar personuppgifter av olika slag.
• Lärare Jonas Edström
• Medlemspris 1 695 kr (ordinarie pris 1 995 kr)
Vad är en personuppgift?
En personuppgift är en uppgift som direkt eller indirekt kan identifiera en person. Förutom namn och personnummer kan det till exempel vara en mejladress, en ip-adress, ett bilregistreringsnummer eller ett foto.
Dataskydd
Hanteringen av känsligt data skärps när GDPR medför att dataskydd är standard och kravet på att känsliga data alltid ska krypteras. Detta kallas också Privacy by default.
Vad är data?
Uppgifter eller information om något, oftast i samband med mätningar eller rapportering, exempelvis personuppgifter.
GDPR omfattar personuppgifter i löpande text i ordbehandlingsprogram, löpande text på internet, ljud- och bildupptagningar, e-post och enkla listor.
Dokumenterade rutiner
Syftet med GDPR är att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. GDPR ställer även krav på att företag måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det innebär att rutiner kring hanteringen inte bara måste dokumenteras, det betyder även en skyldighet att visa att de efterföljs – till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag.
Vad innebär behandlas?
Begreppet ”behandlas” är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. GDPR innebär att behandlingen bara får ske i samtycke och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.
Bakgrund GDPR
Den 27 april 2016 antogs Dataskyddsförordningen, eller General Data Protection Regulations, GDPR, vilken kom att ersatt den tidigare personuppgiftslagen (PuL). GDPR medförde strängare krav på företag och myndigheter att informera om varför de behandlar personuppgifter, vilka de uppgifterna är och hur de hanteras.
Vad kan konsekvensen bli om GDPR inte efterlevs?
Integritetsskyddsmyndigheten kan utfärda böter, administrativa sanktioner, till företag och myndigheter om reglerna inte efterlevs. Det kan bli dyrt, upp till fyra procent av organisationens omsättning. Eller 20 miljoner euro om organisationen inte är ett företag.
Viktiga roller
Ansvaret för hanteringen av personuppgifter har den som är personuppgiftsansvarig, vilket normalt är en juridisk person eller myndighet som bestämmer vilka uppgifter som behandlas/ till vad och vad de ska användas till. Varje företag/myndighet måste ha en dataskyddschef, data protection officer. Personen har större ansvar och fler skyldigheter än tidigare. Att hanteringen av personuppgifterna sker korrekt och lagligt säkerställs av ett personuppgiftsombud. Det är ofta en anställd som är personuppgiftsombud, med en förteckning över register och annan behandling av personuppgifter, och som även hjälper registrerade att få felaktiga uppgifter rättade.
GDPR ger ett tydligt ansvar på den som arbetar som personuppgiftsbiträde, det vill säga hanterar personuppgifter för den personuppgiftsansvariges räkning utanför organisationen . Ett personuppgiftsbiträde måste lämna garantier för att GDPR följs, inhämta tillstånd, bistå den personuppgiftsansvarige, föra register över behandling, ha ett eget ansvar för säkerhet och måste anmäla personuppgiftsincidenter till den personuppgiftsansvarige.