Datahantering har varit ett hett ämne i styrelserummen tack vare EU:s nya dataskyddsförordning, GDPR, som träder i kraft den 25 maj 2018. I Sverige kommer den att ersätta den befintliga personuppgiftslagen (PUL). I korta drag kommer hanteringen av personliga data bli mycket striktare och konsekvenserna av att bryta mot lagstiftningen betydligt kostsammare. Ett företag som inte följer dataskyddsförordningen, riskerar böter på 4% av den årliga globala omsättningen eller 20 miljoner euro i böter, beroende på vilken av summor som blir störst.
Ett ökat integritetsskydd har varit i fokus och ligger i grunden till lagstiftningen. Varför ska den då gälla hela EU? En gemensam lagstiftning inom unionen skapar en enhetlig tillämpning av lagarna inom EU och underlättar dessutom handeln mellan de olika medlemsländerna. Om ni ännu inte tittat på GDPR och vad förordningen innebär är det hög tid, och nästintill för sent, att lära sig om alla konsekvenser och åtgärder. Många uppskattar att det kan ta upp till 2 år att förändra organisationer till att vara GDPR-anpassade. Det är inte så konstigt, eftersom många företag idag inte ens följer den befintliga personuppgiftslagen.
Vad gäller definitionen av personuppgifter, innefattar den alltifrån namn, foton, inlägg på sociala medier, email, medicinska uppgifter, platsinformation och datorns IP-adress. GDPR gör ingen skillnad mellan ditt offentliga, privata och professionella liv. En person ska alltså alltid behandlas som samma individ oberoende av sammanhang.
Nedan följer en del principer som fastställs av GDPR och träder i kraft den 25 maj 2018.
Inbyggt dataskydd – ”Privacy by design”
En av de grundläggande principerna i både GDPR och generellt integritetsskydd är uppgiftsminimering. Det innebär att man samlar in minsta möjliga information för syftet och ändamålet med just angiven data. Man ska som företag eller organisation vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla kraven i dataskyddsförordningen. Vad som är ”lämpligt” styrs av uppgifternas, behandlingens omfattning och syfte, samt hur riskfylld behandlingen är för individen.
När ni bestämmer eller uppdaterar ert IT-system bör ni ha GDPR i tankarna. Ni behöver göra en klar inventering av er personuppgiftshantering och vilka krav GDPR ställer på just er organisation. På så sätt kan ni bemöta kraven på rätt sätt och från början – i det tekniska.
Detta bör ni tänka på när ni inventerar:
- Personuppgifter som samlas in och behandlas?
- Hur samlar ni in personuppgifter och vem har tillgång till dem?
- För vilka ändamål använder ni personuppgifterna?
- Finns det några hot mot den personliga integriteten hos era användare?
- Vad är säkerhetskraven för uppgifterna?
- Vem ska ha tillgång till den personliga data ni samlar in?
- Hur länge behålls uppgifterna och när tas de bort?
- Hur säkerställer ni att informationskrav och anmälningskrav uppfylls?
- Vad krävs tekniskt för att ni ska ha kontroll över data och dess behandling?
Rätt till tillgång: nya informationskrav – rättsligt stöd för behandling och samtycke
Glöm den där rutan som man kryssar i bredvid användarvillkor innan man registrerar sig på en hemsida eller utför ett köp! Med GDPR blir kraven på information som lämnas till den registrerade betydligt tydligare och striktare. Den ska nu, kortfattat och tydligt, innehålla uppgifter om den rättsliga grunden för behandlingen av data, ändamålet och hur länge data sparas, samt kontaktinformation för klagomål.
Hand i hand med detta går att man inte får be om uppgifter som inte är nödvändiga för användandet er tjänsten. Därför bör alla se över sin hantering av personuppgifter och informations- samt samtyckesformuleringar för att försäkra sig om att de är anpassade till informationskraven. Vidare bör man säkerställa att formuleringar stämmer med den faktiska behandlingen av data/uppgifter på den tekniska sidan.
Rätten att bli informerad, få information korrigerad och begränsa behandling
Organisationer är skyldiga att informera om all behandling och insamling av personuppgifter. Som individ har du alltså rätt att bli informerad om i princip allt som händer med dina personuppgifter. Som företag är ni också skyldiga att korrigera information om individen begär detta – oberoende av tid och plats. Under vissa omständigheter, när individen ber om det, kan företag också tvingas att avsluta behandlingen av befintliga personuppgifter. De kan alltså finnas kvar, men användningen blir begränsad.
Rätten att invända
Som företag får ni inte använda personuppgifter i marknadssyfte om individen inte vill det länge. Ni är då skyldiga att avbryta behandlingen av dennes data så snart ni fått begäran. Vidare är ni, som företag eller organisation, också skyldiga att informera om denna rättighet vid initial kommunikation, registrering eller dylikt med/av individen.
Rätten att bli bortglömd – ”Gallring”
GDPR ger alltså tillbaka ”personuppgiftsmakten” till just individen det tillhör. Dataskyddsförordningen tillåter de som delar med sig av sin data att bestämma hur den ska behandlas och vilka delar av uppgifterna som får behandlas. Ytterligare en rättighet är rätten att bli glömd. Den registrerade har alltså rätt att, vid vilken tidpunkt som helst, begära att få sina uppgifter raderade förutsatt att det inte längre finns någon rättslig grund för dess fortsatta behandling.
Man kan få behålla delar av uppgifter om de, till exempel, behövs för bokföringsändamål. De måste dock då begränsas i tillgång till endast ekonomiavdelningen och kan då inte användas i marknadsföringssyften av marknadsavdelningen, bl.a.
Företag och organisationer bör därför se över hur raderandet av uppgifter sköts idag. Raderingen ska vara korrekt och framförallt ska det finnas åtkomst- och behörighetsspärrar som säger vem som har tillgång till vissa data.
Rätten till dataportabilitet
Data blir flyttbar. Det innebär att du kan godkänna att, till exempel, Twitter tar över dina personuppgifter från Facebook. Kommer ditt företag att gynnas av detta, bör ni vara tekniskt förberedda för att ta emot och utföra en flytt av data.
Rätten att meddelas: krav på anmälan till Datainspektionen vid personuppgiftsincident
Genom dataskyddsförordningen skärps kraven på hanteringen av personuppgiftsincidenter. Skulle din hemsida exempelvis bli hackad, har du en skyldighet att anmäla detta till tillsynsmyndigheten – i detta fall datainspektionen – inom 72 timmar. Vid enskilda fall, där intrånget (eller annat) innebär stora risker för de registrerade, måste man även meddela varje enskild individ.
Med andra ord, behöver organisationer skapa mer vattentäta och skärpta säkerhetskrav i förebyggande syfte. Vidare bör man ha strukturerade och effektiva rutiner vid personuppgiftsincidenter, skulle de inträffa. Organisationens IT-system måste alltså stödja en snabb överblick om ett intrång hänt och även meddela det för att utföra sin anmälningsplikt.
GDPR kortfattat
Tyvärr är det inte helt lätt att summera den här 92-sidors förordningen som för många är lika förvirrande som ett främmande språk. Det viktigaste man måste ta med sig från detta är att ha koll på sin datahantering och anpassa den utefter GDPRs krav och regler. Det blir inte mycket lättare än så. GDPR återger individen makten över sina egna uppgifter, vilket mycket länge varit önskat av gemene man. Däremot kommer det att bli tufft att anpassa sig till GDPRs alla klausuler och långrandiga förklaringar. Summa summarum: vänta inte längre, börja läsa på om GDPR idag och ta chansen att lägga dig i framkant mot dina konkurrenter. Skött ordentligt, kan GDPR generera fler och viktigare affärer för dig. Börja redan idag!
För att läsa dataskyddsförordningen i sin helhet, vänligen besök datainspektionen.
Har ni några frågor till oss, kan ni antingen ställa dem i en kommentar nedan, kontakta oss på Facebook eller kontakta vår support.
Lycka till!