Artikel publicerades i maj 2018

Få har nog missat att GDPR, den nya dataskyddsförordningen, träder i kraft nu i maj 2018. Men har du koll på vad GDPR innebär för din digitala närvaro? Särskilt om du vänder dig till privatpersoner med din webbplats och digitala marknadsföring så kommer GDPR att kräva förändringar i hur du arbetar. I den här artikeln reder vi ut en del av begreppen och vad du behöver tänka på framåt.

I den här artikeln:

• Vad är GDPR?
• Vad innebär GDPR?
• GDPR och din webbplats
• Skillnad på data och data: strukturerad och ostrukturerad data
• Om du har utländska leverantörer och/eller lagrar dina kunders uppgifter utanför EU/EES
• Skaffa SSL-certifikat för att uppfylla kraven på kryptering
• Checklista inför GDPR
• Ready Digital & GDPR – för dig som är kund hos oss redan
• Sammanfattning

Vad är GDPR?

GDPR (General Data Protection Regulation) är EU:s nya dataskyddsförordning som träder i kraft den 25 maj 2018. GDPR ersätter PUL, den nuvarande dataskyddsförordningen. Förordningen är ett steg mot en bättre säkerhet för EU:s medborgare och att värna om integritetsskyddet.

Förordningen påverkar alla företag, myndigheter och organisationer som sparar eller på annat vis hanterar personlig information om kunder och personal inom EU och EES-länderna. Detta inkluderar (men är inte begränsat till) namn, mailadresser och IP-nummer i de fall då de kan kopplas till en specifik person.

Vad innebär GDPR?

Från privatpersonens perspektiv innebär GDPR en möjlighet till att få större insyn om hur företag hanterar de personliga uppgifterna och ett högre integritetsskydd. Som privatperson har man rätt att få tillgång till alla uppgifter som man har lämnat till företaget. Personen i fråga kan begära korrigeringar eller flytta uppgifterna, har rätt att bli helt glömd och raderad ur företagets register eller neka till att de sparas från första början. Information som har skapats av företaget om personen täcks inte av detta, exempelvis kreditbetyg.

Från företagets håll innebär det hårdare krav för att säkerställa att ovan är möjligt och att informationen lagras säkert, samt att man ser till att alltid ha rättslig grund som motiverar att uppgifter lagras. Detta leder exempelvis till krav på rutiner och processer för hur och varför personuppgifter lagras, men även att man möjliggör att datan är flyttbar och går att radera.

GDPR och din webbplats

Har du en webbplats så blir du personuppgiftsansvarig och bär ansvaret för den personliga data som besökarna eventuellt lämnar när de besöker din webbplats. Det kan exempelvis handla om e-postadresser som lämnas för ett nyhetsbrev, eller de uppgifter som lämnas i ett formulär.

För att du ska få lov att spara personuppgifterna så krävs det att du har så kallad rättslig grund för det. För nyhetsbrev så kan det innebära att kunden aktivt ger sitt samtycke till utskicken eller att du har ett existerande avtal. Alla typer av formulär kräver att kunden aktivt godkänner att uppgifterna som skickas in lagras!

Vi rekommenderar att du alltid hör av dig till en jurist för att försäkra dig om att den rättsliga grund du använder dig av är tillräcklig, de kan svara på vad som gäller för just din verksamhet.

Cookies

Cookies är små filer med ett unikt ID som sparas på datorn från webbplatser man besöker. De är i många fall nödvändiga för att webbplatser ska fungera optimalt för användaren, och för att förse dig som ägare av webbplatsen med statistik. Använder du cookies på din webbplats behöver du informera dina besökare om det tillsammans med en förklaring av användningsområde och instruktioner för hur besökaren rensar ut cookies från sin dator.

Olika typer av rättslig grund för privata företag och föreningar

• Avtal
• Intresseavvägning
• Rättslig förpliktelse
• Samtycke

Skillnad på data och data: strukturerad och ostrukturerad data

Det som kanske kommer innebära den största kontinuerligt praktiska skillnaden med GDPR är att ostrukturerad data nu behöver behandlas som strukturerad data.

Strukturerad data

Strukturerad data är sökbar och finns i en databas, och är på så sätt lättare att skydda och att ha kontroll över.

Ostrukturerad data

Ostrukturerad data är inte sökbart i ett system och är inte del av någon databas. Med detta menas alltså exempelvis när personuppgifter förekommer i löpande text, bilder, ljudinspelningar och annat där man inte har en tydlig struktur och kontroll över innehållet. Datan är enkel att kopiera och sprida och hamnar ofta i flera upplagor.

Exempel:
Du skapar en fil som innehåller namn och kontaktuppgifter till personer som deltagit vid ett event, alltså personuppgifter. Denna filen har du sparat lokalt och på ett USB-minne. Sedan skickar du filen till din kollega, som sparar det på en molntjänst. Filen med personuppgifterna i finns nu: lokalt hos dig, på ditt USB-minne, i din mail, i din kollegas mail och molntjänst. Sen kommer en tredje kollega och behöver samma fil, och så hamnar den på ytterligare några ställen. Ostrukturerat, helt enkelt. Om någon vars uppgifter är med i den där filen vill ha bort dem, vet du var du ska leta?

Under GDPR så behöver man alltså skaffa sig kontroll över även den här typen av data. Rent konkret kan det innebära att man sätter upp rutiner där man bestämmer att alla filer som innehåller personuppgifter sparas på en gemensam säker plats och att man regelbundet rensar upp i mail och lokala enheter.

Om du har utländska leverantörer och/eller lagrar dina kunders uppgifter utanför EU/EES

Chansen är att du använder dig av åtminstone någon utländsk leverantör som du lagrar dina kunders uppgifter hos. Tänk på att personuppgifter inte får överföras och lagras utanför EU om den aktuella leverantören inte kan garantera samma nivå av dataskydd som inom EU! Vi vill uppmana dig att kontrollera dina leverantörer och se till att de är godkända.

För amerikanska leverantörer kan ett så kallat Privacy Shield-avtal tillämpas. Anslutna företag är godkända för att hantera personuppgifter från EU.

Skaffa SSL-certifikat för att uppfylla kraven på kryptering

Med GDPR så blir det ett krav att data krypteras, det vill säga att den görs säker under transportsträckan mellan avsändare och mottagare.

Ett SSL-certifikat säkerställer att informationen som överförs mellan din hemsida och besökaren är krypterad och säker. Jämför det med att skicka ett paket på posten – egentligen är det inget som hindrar att paketet öppnas och granskas, med informationen i paketet fritt fram att ta. Samma sak med information som skickas till och från en hemsida. SSL-certifikatet ser till att informationen är skyddad i flera lager och säkerställer en trygg överföring.

Checklista inför GDPR

• Vilken information samlar du in idag, och varför gör du det? Kanske är det viss information som läggs på lager för att ”det kan vara bra att ha” men sedan aldrig används?
• Rensa ut gamla onödiga uppgifter direkt! Dags för storstädning helt enkelt. I samma veva:
• Se till att alla uppgifter är korrekta och aktuella.
• Dokumentera var och hur personuppgifter lagras.
• Om ni hanterar känsliga data, gå igenom era rutiner och processer för hanteringen av den och se till att ni har en tillräcklig säkerhetsnivå.
• Etablera rutiner för hur din verksamhet jobbar med ostrukturerad data.
• Lagras någon del av informationen i land utanför EU? Kontrollera att leverantören du använder dig av har ett Privacy Shield-avtal eller motsvarande – om inte, byt!
• Sätt upp rutiner för hur du tar emot samtycke, exempelvis för nyhetsbrev. Kom ihåg att samtycket du fått enbart gäller för det aktuella området som samtycket har getts till.
• Din kund har rätt till dataportabilitet, detta innebär att uppgifterna behöver kunna ges ut i ett format som gör att de kan användas i annan tjänst. Informationen ska lämnas ut absolut senast en månad efter att personen har lämnat en begäran.