Just nu finns det information om GDPR överallt. Nästa fredag, den 25/5 börjar den nya dataskyddsförordningen att gälla. Så vad behöver du som företagare ha gjort innan dess? Här kommer en sammanfattning om bakgrunden till vad GDPR handlar om och vad du som företagare behöver tänka på.
Vad är GDPR?
Från och med den 25 maj 2018 bestämmer den nya dataskyddsförordningen, ”the General Data Protection Regulation” (GDPR), hur ditt företag får behandla personuppgifter, det vill säga all information som direkt eller indirekt kan knytas till en person. Det innefattar namn, foto, e-postadress, IP-adress, bankuppgifter, medicinsk information, platsinformation samt inlägg på sociala medier.
De nya reglerna, som gäller i hela EU och EES, ersätter personuppgiftslagen (PuL), och ställer högre krav på ditt företags rutiner och processer för en säker hantering av personuppgifter.
GDPR gör ingen skillnad på om personuppgifterna används i en privat, offentlig eller professionell roll. Det innebär att även B2B-företag berörs av den nya lagen då de relationer de har med andra företag utförs av individer som skyddas av GDPR.
Vad är syftet?
Syftet med den nya dataskyddsförordningen är att stärka medborgarnas rättigheter med ett eget integritetsskydd och att samma skydd gäller inom alla EU:s medlemsstater. Genom att ställa högre krav på att företag, organisationer och myndigheter informerar om hur och vilka uppgifter de hanterar samt varför, får medborgaren en större kontroll. Det nya skyddet ger också individen en rätt att bli glömd, det vill säga att en person har rätt att begära att alla uppgifter tas bort ur ett kundregister eller sökmotor.
Vad händer ett företag som inte följer GDPR?
Den största skillnaden från PuL är att höga böter väntar de företag som ej följer GDPR. Ett företag som brustit i sin behandling av personuppgifter kan tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av företagets globala omsättning. Varje land har sin egen tillsynsmyndighet som bedömer överträdelsen. I Sverige hanteras dessa ärenden av Datainspektionen. Riktlinjer och beslut om tolkningar kommer också fattas av en central dataskyddsstyrelse i EU.
Varje medlemsland får själva avgöra om sanktionsavgifter för myndigheter och offentlig sektor. I Sverige finns det förslag på att sanktionsavgifterna ska ligga på mellan 10 och 20 miljoner kronor, vilket är jämförbart med brott mot miljö- och arbetsmarknadslagar.
Vad behöver företaget vidta för åtgärder?
Många av de krav som nu ställs fanns med redan i personuppgiftslagen (PuL). Det viktiga är att alla på företaget känner till vilka data era system lagrar och varför. Varför behöver du uppgifterna, hur samlas de in och vem har tillgång till dem?
Detta är inte något er IT-leverantör kan ge svar på utan du behöver själv gå igenom och dokumentera detta.
Läs gärna mer på Datainspektionen.se
Hur hanterar jag detta på min webbplats?
Formulär
I anslutning till formulär behöver finnas ett val för samtycke till att skicka uppgifter och att det tydligt framgår vad du kommer använda uppgifterna till.
Nyhetsbrev & e-postlistor
Tänk på att alla som väljer att prenumerera på nyhetsbrev måste ge sitt samtycke till att du kommer samla in och använda uppgifterna. Detta kan göras med en checkbox. Viktigt är att den inte får vara i bockad som förval.
Informera i anslutning till prenumerationsfältet vad för information prenumeranten kan förvänta sig.
En länk för att avanmäla sig måste finnas i varje utskick.
Bilder
Bild är en personuppgift om människor på bilden går att känna igen. Även namn, adress och övriga personuppgifter i metadatat (koden som beskriver bilden som t.ex. bildbeskrivning) behöver vara godkänt av personen.
Är ditt företag redo för GDPR?
Dubbelkolla mot vår checklista:
- Se till att företagets personuppgiftspolicy är uppdaterad och innehåller; hur länge data lagras, vem som ansvarar för uppgifterna, vad anledningen till att samla in dem är, vem som har tillgång till uppgifterna, dataöverföringspolicy, en översikt över rätten att begära ut uppgifterna, ta tillbaka sitt samtycke samt framföra ett klagomål.
Se till att policyn finns på ett synligt ställe på företagets webbplats så du enkelt kan hänvisa till den. - Säkerställ att du har definierat den lagliga grunden för behandling av data, om det är ett samtycke eller legitimt intresse, och att du har dokumentation för att bevisa att de efterlevs. Om den rättsliga grunden baseras på LIA, se till att du utför en LIA och att den är tillgänglig för alla på företaget som referens.
- Se till att du har en rutin på plats för att ta bort uppgifter om en person begär det och att alla i verksamheten känner till vem som är ansvarig för detta.
- Granska erleverantörer och delprocesser så att GDPR efterlevs.
- Utbilda personalen om vad GDPR är och hur den påverkar företagets arbetsrutiner, samt att de känner till vad som räknas som en överträdelse.
Om det finns osäkerhet i vad som behöver göras för att GDPR-säkra ditt företag är vår rekommendation att du kontaktar en jurist då vi endast kan ge information om GDPR, ej juridisk rådgivning.