Behandla personuppgifter rätt

Tangentbord med tangent "Data protection"

DATASKYDDSFÖRORDNINGEN GDPR

En personuppgift är information som på något sätt gör det möjligt att identifiera en fysisk person det kan vara namn, kontaktuppgifter, IP-adress eller fysiologiska kännetecken. Behandlingen av sådana uppgifter har hittills reglerats av Personuppgiftlagen (PUL), men den 25 maj 2018 ersätts PUL av General Data Protection Regulation (GDPR) eller Dataskyddsförordningen och med det kommer många frågor. Syftet är att stärka privatpersoners rättigheter, men GDPR kommer också ge upphov till en mängd nya rutiner som måste implementeras. Några nyheter med den nya lagen är rätten att bli glömd, dataportabilitet och skärpta krav på samtycke samt information vid personuppgiftsbehandling. Ett omfattande arbete ligger framför oss, och ännu finns många gråzoner, men det går att förenkla arbetet med rätt verktyg.

Produktblad Behandla personuppgifter rätt (pdf)

DATUM OCH PLATS
Borås | 14/11 2017 + 16/1 2018
Stenungsund | 21/11 2017 + 17/1 2018

OMFATTNING
3 timmars utbildning + efterföljande diskussion.
2 timmars workshop ca två månader senare, där vi ser hur arbetet med checklistan fortskrider. Innan dess skickas fråga ut för att se nivån/var vi står still.

KURSAVGIFT
4 900 kr exkl moms.

MÅLGRUPP
För personuppgiftsansvariga, personuppgiftsbiträden eller personal på företag och organisationer som på ett eller annat sätt behandlar personuppgifter. Fokus ligger dock på privat sektor.

FÖRKUNSKAPER
Inga förkunskaper krävs.

MÅL
Utbildningen ger förståelse för vad dataskyddsförordningen innebär för organisationen och för de enskilda rollerna inom den, vilka konsekvenser det kan få och vilka förberedelser ni kan göra för att få det rätt från början. Du får också hjälp att ta fram verktyg för att hantera personuppgifts-incidenter och för att skapa rutiner och policys. Framför allt vill vi praktiskt förbereda er på vad som komma skall med hjälp av, för er, anpassade verktyg.

INNEHÅLL

Sex större förändringar
• Strängare krav på företag och myndigheter att dokumentera vilka uppgifter som hanteras och varför.
• Individens rättigheter stärks. Kunddata har varit något som företaget äger, nu blir istället kundrelaterad data något som företaget har till låns under en begränsad tid.
• Varje företag/myndighet måste ha en personuppgiftsansvarig. Personen har större ansvar än tidigare. Om ditt företag hanterar känslig data, till exempel hälso- och religionsuppgifter, kan ni dessutom behöva utse ett dataskyddsombud.
• Organisationen måste kunna visa hur de hanterar uppgifterna på ett säkert och korrekt sätt. Det räcker inte att säga att de har rutiner, de måste kunna visa att de följs till exempel kan det betyda att de snabbt måste kunna lämna ut registerutdrag.
• Behandlingen får bara ske i samtycke med den som registreras och uppgifterna får inte användas för något annat är vad individen gett sitt samtycke till.
• Datainspektionen kan utfärda sanktioner på upp till 4 % av organisationens globala omsättning, alterna- tiv maximalt 20 miljoner euro, om organisationen inte sköter sig.

Sex steg för organisationen
• Gå igenom er personuppgiftsbehandling: vad har ni för uppgifter, hur hanteras informationen i dag och varför behövs den?
• Om ni inte redan har en personuppgiftsansvarig utse en. Fundera på om ni behöver ett dataskyddsombud.
• Upprätta register över er personuppgiftsbehandling, det är viktigt att det finns dokumenterade rutiner och en tanke bakom all behandling.
• Gör risk- och sårbarhetsanalyser samt upprätta rutiner för hur ni ska anmäla och informera om person- uppgiftincidenter. Det kan vara allt från att tappa bort ett USB-minne till ett intrång i systemen.
• Se över hur ni i dag informerar de personer ni begär in information om. Är det tillräckligt tydligt, framgår det vad ni gör med informationen och varför? Finns det kontaktuppgifter till ansvarig inom er organisation?
• Fundera på hur ni ska kunna radera information, hur ni vid behov ska kunna samla all data om en person och hur ni ska göra för att lämna ut den om den registrerade begär det.

KURSLEDARE
Cathrin Lundberg, biträdande jurist på Advokatfirman Wåhlin, har lång erfarenhet av näringslivet. Hon har arbetat som bolagsjurist på Ericsson, Borealis och IKEA och även varit ansvarig för IKEAs globala expansion.

Ida Grimsborn, paralegal på Advokatfirman Wåhlin, har skrivit examensarbete om GDPR och dess betydelse för företag.