Hur ska jag gå tillväga med GDPR-förberedelserna?
10 steg för att komma igång med anpassningar till den nya dataskyddsförordningen
1. Organisera arbetet
Bilda en projektgrupp, fördela ansvaret inom gruppen och ha kontinuerliga möten där ni arbetar av nedanstående punkter. När det stora arbetet är klart, planera för hur ni ska förvalta kunskapen, de nya rutinerna och följa utvecklingen med dataskyddsförordningen framöver.
2. Inventera
Kartlägg vilka personuppgifter, ändamål, laglig grund m.m. som ni idag använder och i vilka system ni behandlar dessa samt var informationen finns (finns det på servrar i tredje land tex). Kartlägg också vilka rutiner som idag finns för att radera personuppgifterna.
3. Upprätta en åtgärdslista
Vad i inventeringen behöver anpassas för att följa nya dataskyddsförordningen? Upprätta en lista på det som behöver åtgärdas och beta av den i projektgruppen.
4. Konsekvensbedömningar
Gör risk- och säkerhetsanalyser för de system som behandlar känsliga uppgifter (som t.ex. medlemmarnas personuppgifter).
5. Dokumentera
Skriv ner hur ni har tänkt om arbetsprocesserna, formulera rutiner (som också utgör instruktioner från förbundet som arbetsgivare) och policydokument.
6. Informationstexter
Ta fram läsvänliga texter, som möter förordningens krav, om hur ni jobbar med dataskyddsförordningen för att säkerställa de registrerades integritet.
7. Hur ska en personuppgiftsincident hanteras?
En personuppgiftsincident ska hanteras inom 72 timmar. Vad räknas som en personuppgiftsincident och när har organisationen fått vetskap om den? Vilka funktioner ska informeras och vilka åtgärder ska vidtas? En bra idé kan vara att ha färdiga mallar för information till tillsynsmyndighet och berörda registrerade.
8. Biträdesavtal
Inventera vilka leverantörer ni har och hur avtalen ser ut idag. Upprätta nya biträdesavtal som uppfyller nya dataskyddsförordningens krav. Checklista för vad som ska ingå finns i bilaga X.
9. Uppfyller personuppgiftsbiträdena den nya dataskyddsförordningens krav?
Hur ska ni som personuppgiftsansvariga göra för att säkerställa detta? Vilka besök/granskningar av rutiner ska genomföras, när och av vem?
10. Utbilda och motivera
Utbilda projektgruppen, kollegorna, styrelsen, förtroendevalda m.fl. i organisationen om nya dataskyddsförordningen, era nya rutiner och policy. Förklara varför arbetet är viktigt, att lagen betonar ”accountability” och att varje personuppgiftsansvarig ska kunna visa att organisationen följer lagen.