Privacy by design

och andra skyldigheter enligt GDPR

Ökade rättigheter innebär ökade skyldigheter

Som en följd av att de enskildas rättigheter har utökats i och med GDPR så är det en naturlig konsekvens att även skyldigheterna för den personuppgiftsansvarige har ökat.

Integritetsskydd och säkerhet

Klicka på Play för att se filmen

En av GDPR:s slagord är ”Privacy by design and default”. Det betyder kort och gott att man alltid ska ha ett säkerhetstänk genom hela processen; i sina system och i sina rutiner, men även när det kommer till det organisatoriska – och att detta ska vara grundläget.

Register

Personuppgiftsansvarige ska föra register på all behandling som sker. Det finns förvisso tillfällen då register inte krävs, men att föra register är ett bra sätt att ha koll på vad man verkligen gör, samt så kan det vara svårt att uppfylla de andra kraven inom GDPR utan ett.

Personuppgiftsbiträdesavtal

Om du arbetar med en extern partner, ett så kallat personuppgiftsbiträde (DPA), som behandlar personuppgifter så bör du se över dessa avtal, och skapa om de saknas.

Personuppgiftsincidenter

Om det skulle hända något i dina system så måste du anmäla dessa incidenter, i vissa fall – om de är av större vikt – inom 72 timmar. Då ska du kunna:

 

  • Beskriva incidenten
  • Tala om vilka som har berörts
  • Meddela både tillsynsmyndigheten (Datainspektionen) och den registrerade
  • Meddela konsekvenserna

 

Är det en mindre incident så är detta inte nödvändigt, men du behöver föra ett register på dem. För att svara på ovanstående är det således oerhört viktigt att du vet vilka uppgifter hanterar du och var de finns.

Risk- och konsekvensanalys

Om du tror att en viss behandling kan leda till en öka risk för de enskildas integritet så kan du i vissa fall göra en risk- och konsekvensanalys. Detta sker i så fall i samråd med Datainspektionen.