GDPR för ditt konsultföretag

Från den 25 maj kan det bli negativa följder av att inte ha tagit till sig GDPR. För er som inte haft tid att prioritera denna punkt är det hög tid att se över era rutiner och processer för hur personuppgifter hanteras internt. Cinode delar här med sig av det som du i ledande position på konsultbolag som minimum bör säkra.  

Ett nytt mindset – rättslig grund och samtycke

Tiden då ni kunde samla in personuppgifter med ett otydligt syfte på obestämd tid är förbi. Det är dags att odla ett helt nytt mindset genom att se det som att ni ”lånar” specifika personuppgifter av innehavaren och att ni alltid ska veta var informationen finns, till vad den används och av vem samt hur länge ni anser att ni kan eller måste spara den. Att samla in data för att den kan vara bra att ha i framtiden är helt enkelt ej längre godkänt.

Som ett led i detta arbete behöver ni inventera de personuppgifter ni idag samlar in och fundera över hur ni över tiden ska ge dem möjligheten att nyttja de rättigheter de får i och med GDPR.

Personuppgiftsbehandling för medarbetare, kandidater och underkonsulter

Viktiga intressenter i detta är naturligtvis era medarbetare, kandidater och underkonsulter. För dem ska det vara tydligt vilken personuppgiftsbehandling som sker när de inleder en relation med er i någon av dessa former. För dessa intressenter ska ni kunna redogöra för

• vilka personuppgifter ni samlar in
• vilken typ av behandling som sker
• vilka målgrupper personuppgiftsbehandlingen görs tillgänglig
• hur länge ni har avsikt att spara informationen eller behandla den

Det är också viktigt att förstå begreppet rättslig grund och att detta alltid ska finnas för all personuppgiftsbehandling. Rättslig grund för att samla in och behandla personuppgifter kan till exempel vara att inhämta ett samtycke eller för att fullgöra ett avtal (det finns sex stycken rättsliga grunder att luta sig mot, se mer här). Exempelvis en anställning som konsult innebär att ni har en rättslig grund för att samla in personuppgifter för att offerera eller beläggningsplanera hen.

Personuppgiftsbiträden

GDPR kräver av samtliga era underleverantörer (IT-tjänster eller andra tjänster) där personuppgifter hanteras att ni upprättar ett avtal. För de system ni väljer att använda i er verksamhet måste ni säkerställa att ni endera upprättar ett specifikt personuppgiftsbiträdesavtal (hur uppgifter som personuppgiftsansvarig hanteras) eller att de obligatoriska punkterna som artikel 28 nämner skall finnas med i det avtal/tjänstevillkor leverantören använder för att leverera sin tjänst.

Definiera er zon och håll er inom denna

Tänk på att all den personuppgiftsinformation ni skapar eller samlar in kan komma att begäras ut av personen ifråga och att ni därför bör hålla er inom de ramar ni kommunicerat enligt ovan. Undervisa er organisation så att de förstår och tänker på att notera någonting som inte är förenligt med det syfte ni redovisat i er policy för personuppgiftshantering.

Renodla system för informationslagring

Det har blivit mycket enkelt idag att jobba med lösningar som exempelvis Office 365 samt Dropbox och det är lätt att förlora kontrollen över var personuppgifter förekommer. Av praktiska skäl kan det vara klokt att renodla floran av IT-stöd och att minimera förekomsten av ostrukturerade filer som är svåra att lagra systematiskt och kontrollera. GDPR gör inga undantag för varken ostrukturerade eller handskrivna dokument.

Rätten till dataportabilitet

När ni väljer nya IT-stöd kan det vara bra att känna till att era medarbetare har rätt till dataportabilitet av den data hen har försett er med och detta ska erbjudas i ett ”strukturerat, allmänt använt och maskinläsbart format”.

Dataskyddsombud och beredskap

Om ni anser att omfattningen av den data ni hanterar för era medarbetare är att beakta som känslig ska ni överväga att utse ett dataskyddsombud.

Ni måste i och med att GDPR träder i kraft ha en process för att hantera en personuppgiftsincident (till exempel ett intrång i ett av era system från en medarbetare) som innefattar en handlingsplan för att informera tillsynsmyndigheten (i Sverige Dataskyddsinspektionen) inom 72 timmar. Datainspektionen är för stunden i färd med att skapa en webbsida för rapportering av personuppgiftsincidenter.

Vad är då det viktigaste att tänka på för att leva upp till den nya lagstiftningen? Kartlägg era personuppgifter och hanteringen av dessa. Se till att ni väljer leverantörer som förstår det ansvar ni som personuppgiftsansvariga har nu när efterlevnaden av GDPR inom kort träder i kraft.

I ett annat blogginlägg berättar vi mer om hur Cinode skapar kontroll och transparens för er personuppgiftshantering.