Allmänna Dataskyddsförordningen, GDPR 

Den Allmänna Dataskyddsförordningen, GDPR börjar gälla i maj 2018. 

I korthet ersätter GDPR den tidigare personuppgiftlagen PUL.
Men GDPR ställer dessutom högre krav, både på er som Personuppgiftsansvarig (som äger t.ex. ett kundregister) och på VMI som Personuppgiftbiträde (som i vissa fall lagrar kundregister informationen åt er i våra servrar).

VMI och våra kunder behöver i vissa fall reglera detta förhållande i ett s.k. personuppgiftsbiträdesavtal. 

Instruktioner:

  1. Ladda ned >>
  2. Skriv ut
  3. Läs igenom
  4. Vid behov, fyll i bilaga 1
  5. Skriv under, scanna in och skicka till support@vmi.se
    alternativt
    Skicka 2 underskrivna exemplar till VMI IT Services AB, Hantverksvägen 15, 764 93 VÄDDÖ, ATT: GDPR 

Lite kort vad ni själva behöver tänka på:

Vi rekommenderar att ni vänder er till en GDPR konsult om ni har frågor som berör GDPR generellt och  GDPR för er specifika verksamhet.
Personuppgiftbiträdesavtal behöver endast skrivas om VMI behandlar datauppgifter åt er som kund. T.ex. om vi driftar en server som innehåller ert kundregister.

Här kommer några grundläggande tips för att komma igång med GDPR arbetet:

Utse Dataskyddsombud

Ni som kund behöver utse (minst) ett dataskyddsombud inom organisationen

Kartlägg

  • Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut.
  • Ni kan behöva göra en större översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av er organisation.
  • Upprätta en registerförteckning över alla personuppgiftsbehandlingar. Om det finns en registerförteckning enligt personuppgiftslagen behöver den löpande underhållas
  • Se över rutiner och instruktioner så att det inte blir ett engångsarbete utan att registerförteckningen kan hållas kontinuerligt uppdaterad.

Analysera

  • Ta reda på vilka grunder som tillåter att personuppgifter får behandlas för varje behandling. Ett gammalt kundregister kan t.ex. behöva rensas från historisk information.
  • Se till att detta dokumenteras i registerförteckningen.
  • Om personuppgifter behandlas med stöd av samtycke, se till att det i efterhand kan visas att ett giltigt samtycke har lämnats. Exempelvis i ett avtal.
  • Genomför konsekvensanalys för behandlingar med särskilda integritetsrisker.

Dokumentera

  • Samla systematiskt och fortlöpande dokumentation som visar hur ni följer dataskyddsförordningen, utöver registerförteckningen.
  • Besluta en övergripande policy för dataskydd som beskriver mål, styrning, organisation och ansvar för dataskyddsarbetet.
  • Se till att dokumentation om dataskydd hålls på ett ordnat och systematiskt sätt och att rutiner finns för att hålla det uppdaterat.
  • Spara underlag för hur reglerna följs.