Alla som hanterar personuppgifter räknas som ansvariga och har därför ett krav på sig att följa lagen. Detta innebär att det spelar ingen roll om det är ett bolag, en förening, en myndighet eller enskild person – hanterar du personuppgifter så ska du efter 25 maj följa GDPR och dess regler.
GDPR innehåller regler och riktlinjer för hur hantering av personuppgifter får ske. Detta gäller från den tidpunkt du samlar in personuppgifterna till det att du raderar dem.
Alla delmoment måste följa lagen vilket innebär att det inte bara är hur du får, eller hur du raderar uppgifterna som är viktigt – utan även hur du lagrar dem, vilka som har tillgång till dem, men också varför du har dem och hur länge du tänkt att ha dem.
På större organisationer kan det behövas utses en GDPR ansvarig. Denna person ska då se över lagen och sätta upp rutiner för hur denna lag ska följas.
Det är sedan även personens uppgift att se till att dessa rutiner faktiskt följs. En annan uppgift är att se till så att det finns giltiga avtal gällande hanteringen av personuppgifterna. Sådana avtal kan t.ex. handla om vem som räknas som biträde och vem som räknas som ansvarig.
En rekommendation är att så snart som möjligt se över de personuppgifter organisationen hanterar, kontrollera om alla dessa uppgifter faktisk behövs eller om de kunde vara färre, för att sedan upprätta rutinen som den ansvarige samt alla medarbetare kan följa för att säkerhetsställa att den nya lagen följs.