Insikt_ 2017.09.08
Alla pratar om GDPR – men vad i hela friden betyder det
GDPR, EU:s nya dataskyddslag, har blivit en riktig snackis. Den 1 maj nästa år träder den i kraft i Sverige, och ersätter då personuppgiftslagen PuL. Men vad är det som gör GDPR till ett sådant hett samtalsämne? Hur påverkar det dig som sajtägare? Vad kostar de förändringar du behöver göra? Och vad kan det komma att kosta om du INTE implementerar de nödvändiga förändringarna? Vi försöker reda ut begreppen. Häng med, det är inte helt solklart ...
Personuppgifter enligt GDPR
Enligt GDPR är personuppgifter all information som är kopplad till en läsare: namn, foto, e-postadress, bankuppgifter, sociala medier, platsinformation, medicinsk information och IP-adress.
Den nya dataskyddslagen GDPR sträcker sig långt utanför din webbplats och involverar hela ditt företag och alla plattformar, program och register. Vi på Wonderfour har tittat närmare på vad som gäller för dig som samlar in, hanterar och lagrar personuppgifter på eller via din webbplats. Här reder vi ut begreppen.
GDPR i korthet
- Du får inte samla in eller behandla personuppgifter utan din läsares medgivande
Du måste alltså innan du sparar ner personuppgifterna informera din läsare om hur uppgifterna kommer att sparas och vad dem ska användas till. Det krävs att du har ett avtal med läsaren för att få samla in deras uppgifter. - Du måste kunna lämna en kopia på de uppgifter du har sparat om din läsare
Du måste också kunna förklara vad du har använt uppgifterna till. - Dina läsare har rätt att få tillgång till alla sina personuppgifter
Du måste också kunna informera hur dessa kommer att användas av dig efter att de har blivit insamlade. - Du måste kunna radera alla uppgifter om en läsare på deras begäran
Om dina läsare vill återkalla det samtycke som den har gett dig om att använda personuppgifterna, har de rätt att få sin data raderad. - Du måste kunna förse din läsare med alla uppgifter som finns sparade
Du måste alltså kunna leverera alla sparade uppgifter om en läsare vill flytta informationen till en annan leverantör. - Ge dina läsare möjlighet att ändra sina uppgifter
Du måste skapa möjligheter att ändra alla uppgifter om en läsare på deras begäran. - Kunna lagra information om en läsare utan att använda dem
Läsaren kan begära att dess uppgifter inte får behandlas. Du kan fortfarande få lagra informationen, men du får inte använda den. - Meddela dina läsare om det har skett ett dataintrång
Om det har skett ett dataintrång som omfattar dina läsares personuppgifter måste du meddela datainspektionen om intrånget inom 72 timmar. Du måste även höra av dig till dina läsare som har rätt att få vetskap om personuppgiftsintrånget.
Att strunta i GDPR? Det kan bli dyrt. 20 miljoner euro eller fyra procent av din omsättning enligt flera källor.
Börja redan nu med att:
- Kartlägga alla sparade uppgifter om era läsare
Dokumentera vad ni gör med uppgifterna. Identifiera var uppgifterna lagras, vilka som har tillgång till dem och om det föreligger några risker för att uppgifterna kan nås av icke behöriga personer. - Fastställ vilken data ni behöver spara
Spara inte mer information än nödvändigt och radera uppgifter som inte används. - Inför säkerhetsåtgärder
Utveckla och implementera åtgärder för att skydda hanteringen av personuppgifter och för att förhindra dataintrång. - Se över era formuleringar på webbplatsen
Enligt GDPR måste individen uttryckligen samtycka till att du samlar in och behandlar personuppgifter. Detta medför att förifyllda kryssrutor inte längre räcker för att det ska klassas som ett giltigt samtycke. - Skapa riktlinjer för er hantering av personuppgifter
För att kunna möta de rättigheter en läsare har över sina personuppgifter måste ni sätta upp riktlinjer.
Tillexempel:
Hur ser processen ut om en läsare ber att få sina uppgifter raderade?
Hur vet vi om denna person finns i fler register?
Hur exporterar vi ut personuppgifter om en läsare vill flytta sina uppgifter?
Hur fastställer vi att läsaren är den hon eller han utger sig för att vara?
Hur hanterar vi ett eventuellt dataintrång?
GDPR är EU:s sätt att ge dina läsare mer makt över sina uppgifter. Avsikten är inte att försöka stoppa eller försvåra för dig att samla in och behandla personuppgifter, utan att se till att lagringen och användningen av personuppgifter blir mer transparent.
Vad händer om jag inte följer de nya GDPR direktiven?
Att inte följa dessa nya direktiv kan bli en dyr affär. Du kan bli tvingad att betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av din omsättning. Den bedömningen gör i första hand tillsynsmyndigheten i varje land, för Sveriges del blir det Datainspektionen.
Läs mer om vad Wonderfour, Cybercom och B3IT Cyber Security har att säga om GDPR på Beaconomist.net
Vill du veta mer om hur vi som digitalbyrå kan hjälpa dig? Kontakta vår vd och projektledare Lena Fischer på lena@wonderfour.se eller 070-710 83 43.