Checklista GDPR: Det här ska vi göra

Vad innebär GDPR rent konkret?

Det har nog inte undgått någon att GDPR, den nya dataskyddsförordningen som ersätter PuL, träder i kraft den 25 maj 2018. Förordningen berör alla företag som på något sätt behandlar personuppgifter – alltså namn, mailadresser, telefonnummer, adresser, IP-nummer och i vissa fall även bilder – och innebär en del förändringar. Detta med syfte att stärka rättigheterna för den enskilde individen när det kommer till personlig integritet på bland annat internet. Det finns alltså en rad saker att ha i åtanke gällande den nya förordningen, men vad är det egentligen vi behöver göra nu då? Vi har satt ihop en checklista för oss på Mama Said Media, som kanske även skulle kunna vara användbar för er?

1. Förteckning
Till att börja med så har vi gjort en förteckning över vilka personuppgifter som sparas inom företaget. Förteckningen innehåller följande:

  •  Kontaktuppgifter till den som är ansvarig
  • Exakt vilka uppgifter vi sparar om andra personer, exempelvis om anställda, säljkontakter och leverantörer.
  • Vad uppgifterna ska användas till.
  • Vilka olika kategorier som finns; exempelvis anställda, kunder och leverantörer
  • Hur länge vi ska spara uppgifterna. Viktigt: Sätt en tidsgräns!
  • Om uppgifterna överförs till något annat system, annat land, andra listor eller annan organisation så ska det finnas information om det samt en plan för hur vi informerar om det.
  •  Beskrivning av säkerhetsåtgärder som vi har när vi behandlar personuppgifter; exempelvis brandvägg eller lösenord.

2. Kundregister, CRM-system och leverantörsuppgifter
Vi har sett över våra rutiner kring hur vi sparar personuppgifter om våra kunder och potentiella kunder. Så här är det: Om man i till exempel säljsyfte sparar uppgifter – antingen i ett exceldokument eller i ett CRM-system – om potentiella kunder som man vill kontakta eller har kontaktat, så är det okej att göra detta utan medgivande. Men kom ihåg att detta bara gäller om man inte sparar fler uppgifter än nödvändigt för att skriva ett avtal. Det här innebär alltså att vi, utan medgivande, kan spara mailadress, adress till företaget och organisationsnummer utan att fråga personen. Om vi däremot skulle vilja spara mer känsliga uppgifter, såsom till exempel sjukvårdsappar gör, eller information rörande någons åsikter, så måste vi be om medgivande. Eller om vi till exempel skulle vara en researrangör som vill spara vilka länder som kunden verkar gilla; en sådan sak skulle också kräva medgivande. Datainspektionen beskriver följande fall: Om du är frisör och vill spara uppgifter om vad en kund köpte för produkter senast – detta för att rent servicemässigt kunna vara behjälplig vid nästa besök – så måste du ha medgivande för detta. Man ska dessutom vara försiktig med att skriva “irriterad kund” eller liknande i sina system. Men kontentan är att det alltså är okej för oss att använda oss av ett CRM-system i syfte att spara kundkontakter – utan medgivande.

3. Sparade kontaktuppgifter till potentiella influencers
Eftersom vi samlar alla “våra” influencers i ett exceldokument så kommer vi att kontakta samtliga för att be om samtycke, informera om varför vi har dem där och i vilket syfte, informera om hur länge vi kommer att ha dem där, samt informera om att de när helst som kan höra av sig om de vill att vi tar bort dem.

4. Nyhetsbrev
Vi behöver inte göra några förändringar i vår nyhetsbrevs-process, utan precis som tidigare så får man lov att skicka nyhetsbrev om man gör det enkelt för mottagaren att avregistrera sig. Det borde man, som företag, i och för sig vilja oavsett om det finns en lag eller ej. Det skulle ju vara väldigt provocerande att få oönskade mailutskick som inte går att avsluta, eller hur? Detta innebär alltså att vi, precis som tidigare, sparar mailadresser på personer som registrerar sig till ett nyhetsbrev. Givetvis så kan vi inte använda mailadresserna till något annat än det mottagarna har registrerat sig till, men det tillhör inte bara GDPR utan hör lika mycket hemma under rubriken vett och etikett.

5. Facebook-pixeln
Eftersom vi använder Facebook-pixeln – alltså den kodsnutt som vi har lagt på vår hemsida för att samla in uppgifter som krävs för att kunna anpassa marknadsföringen på Facebook – så måste vi informera om att vi gör det. Vi måste också informera om vad vi använder den till, samt få samtycke. För detta så har vi lagt in information gällande Facebook-pixeln, tillsammans med information om cookies och GDPR, på en landningssida på vår hemsida. 

6. Blogg och kommentarer
Det här är en klurig fråga, men vi har tagit det säkra före det osäkra… Vi har en blogg på vår hemsida, och eftersom vi inte hittar något bra sätt att ta bort kommentarer efter “lämplig tid” så har vi tills vidare stängt av kommentarsfunktionen. Detta i hopp om att så småningom kunna slå på den igen, så fort det går att hantera borttagning av kommentarer på Squarespace – den plattform som vi använder. Skulle det vara så att en kommentar endast innehöll namn och mailadress hade det inte funnits något problem i att spara den, vilket ju sker automatiskt, men eftersom personen i fråga skriver i ett fritextfält (där det kan skrivas precis vad som helst som kan vara känsligt) så måste vi dels tala om hur vi sparar det och vad vi använder det till, och dels ha rutiner för hur vi efter en viss tid plockar bort det. Det har vi alltså inte i nuläget, och därför har vi valt att stänga av kommentarsfunktionen. Vid närmare eftertanke så låter det här med att ta bort kommentarer efter en viss tid som en omöjlig ekvation. Skulle det då innebära att man i princip kan kontakta Facebook och säga att alla kommentarer som man någonsin har skrivit måste plockas bort? Troligtvis inte, men nu har vi som sagt tagit det säkra före det osäkra och plockat bort kommentarsfunktionen. Det är ändå inte särskilt vanligt att man lämnar en kommentar i en företagsblogg, utan man brukar snarare göra det i de sociala kanalerna.

7. Mail-policy

  • Vi kommer att undvika att skicka känsliga uppgifter – såsom uppgifter rörande någons hälsa, lönebesked eller politiska åsikter – via mail.
  • Vi kommer aldrig att spara mail med personuppgifter i, utan kommer att spara detta på annat ställe. Det här gäller exempelvis uppgifter om sjukskrivningar och diskussioner om löner.
  • Vi har tagit bort formulär med fritextfält på vår hemsida, eftersom allt man som besökare fyller i, i ett kontaktformulär, sparas automatiskt. Vi vill inte “råka” spara otillåtna eller känsliga uppgifter. Om man av någon anledning måste ha ett fritextfält på sin hemsida, så är det viktigt att tydligt informera om att detta sparas, vad det används till och hur länge det kommer att sparas.
  • Vi har informerat alla anställda om ovanstående punkter. Vi kommer även att ha en utskrift gällande detta tillgänglig för de anställda, samt att alla får signera sina anställningsavtal där det bland annat står att de har tagit del av företagets GDPR-information.

8. Uppgifter om anställda
Vi sparar de uppgifter som krävs för att kunna betala ut löner och liknande. Uppgifter som dessa måste givetvis sparas men om vi som arbetsgivare även vill spara uppgifter om en nära anhörig – som är tänkt att användas om en anställd skulle råka ut för något – så kommer vi ge skriftlig information om det som den anställde i sin tur ska ge till den nära anhöriga.

9. Bilder och kontaktuppgifter till anställda på hemsidan
Eftersom vi har bilder och kontaktuppgifter till våra anställda på hemsidan, så har vi sett till att få medgivande från samtliga.
 

GDPR_mamasaid.png

10. Bokningssystem online
Vi har, på vår hemsida, ett formulär där man bland annat kan registrera sig till webinar och webbutbildningar. För detta gäller exakt samma regler som de som finns kring kunduppgifter (se punkt 2). Det innebär alltså att det är okej att, utan medgivande, spara uppgifter som är nödvändiga för att genomföra bokningen, men att om vi vill spara fler uppgifter än så, så måste vi be om medgivande.

11. Tidsgräns
Eftersom vi inte får spara uppgifter längre tid än nödvändigt, så har vi kommit fram till en tidsgräns för tidigare kunder, tidigare anställda och praktikanter, samt till andra personer som vi har sparat uppgifter kring:

  • Tidigare anställda: 1 år (vissa uppgifter måste vi, enligt Bokföringslagen, dock spara i 7 år)
  • Tidigare praktikanter: 6 månader
  • Tidigare kunder: 1 år
  • Tidigare leverantörer: 1 år

12. Skydda alla personuppgifter
Vi har sett till att allt är sparat på ett säkert sätt – det vill säga att vi till exempel har antivirusprogram och trådlöst nätverk med kryptering där det behövs. Lösenord till dokument med personuppgifter är sekretessbelagda och ges endast till de som är i behov av informationen. Det finns ingen exakt regel för hur noga man måste vara med säkerheten, utan man måste göra en egen bedömning utifrån hur känsliga uppgifter man sparar. Om det till exempel skulle läcka ut information kring vilket schampo du köpte hos frisören vid ditt förra besök, så är det av naturliga skäl inte en lika omfattande skada som det skulle kunna vara om dina uppgifter som du har gett till KRY skulle läcka ut.

Vår GDPR-att-göra-lista

Vi har...

1) Gjort en förteckning
2) Skrivit om våra anställningsavtal
3) Gjort en mapp med information om GDPR som alla anställda har tillgång till
4) Gjort om våra formulär på hemsidan så att de inte innehåller fritextfält
5) Gjort en lista med tidsgränser
6) Sett till att aldrig spara någonting om våra kunder, leverantörer och anställda utöver de uppgifter som vi behöver för att skriva avtal
7) Skapat rutiner kring att vi varje gång, när vi lägger till personuppgifter om en person, dessutom planerar in i vår kalender vilket datum som vi ska ta bort uppgifterna, med utgångspunkt från listan med tidsgränser
8) Bett vår revisor att inte skicka ut lönebesked eller andra uppgifter via mail, samt att vi själva har slutat att göra det. Om vi behöver skicka personuppgifter så gör vi numera det via Slack, där det är krypterat
9) Lagt in en text på vår hemsida om att vi använder Facebook-pixeln i syfte att anpassa marknadsföringen på Facebook
10) Skrivit till alla de som vi har i vår maillista att vi är medvetna om, och jobbar med, GDPR
11) Skapat en landningssida på vår hemsida med information om GDPR
12) Mailat de influencers som vi har i vårt “influencerstall” för att be om samtycke.

Ovan checklista är baserad på information från Datainspektionen och Verksamt.se!

För att förtydliga: Det här är alltså vår egen checklista med reservation för att ovan information inte berör, eller stämmer in på, alla. Och kom ihåg – om du inte har påbörjat ditt GDPR-arbete ännu, så är det hög tid att sätta igång. Den 25 maj 2018 smäller det!

Lycka till!