Den 25:e maj 2018 träder dataskyddsförordningen GDPR i kraft. EU-förordningen kommer att påverka alla företag, branscher och organisationer som hanterar personuppgifter om anställda,  kunder och andra intressenter. Trots att det är lite mer än ett halvår kvar är det få som förstått vad den egentligen innebär. Många företag och organisationer har begränsad kunskap kring hur den egna organisationen påverkas. Jag ser en extra osäkerhet hos dem som jobbar med kommunikation och webb.

Den nya dataskyddsförordning, även kallad GDPR, (General Data Protection Regulation), träder i kraft den 25 maj 2018. Beslut om den nya dataskyddsförordningen kom redan våren 2016 för att ge företag och organisationer två år på sig att förbereda sig innan den träder i kraft. Här beskriver vi de viktigaste delarna i den nya dataskyddsförordningen, och ger en inblick i vad som behöver göras.

Större krav när du ska lagra personuppgifter

Den nya dataskyddsförordningen innebär att det ställs höga krav på de organisationer som som hanterar personuppgifter. Det är inte längre fritt fram att lagra vilka uppgifter som helst om kunder och anställda. I vissa fall måste du först begära in ett godkännande, samtycke, innan du får lagra personens uppgifter. Tänk på att en personuppgift är så pass lite som e-postadress, förnamn och efternamn. Det är något som många glömmer bort i det här arbetet.

Ännu högre krav ställs på dig som hanterar känsliga personuppgifter som etniskt ursprung, politiska åsikter, religiös övertygelse och hälsa med mera. Då behöver du tillsätta och utbilda ett dataskyddsombud. Dataskyddsombudets uppgift är att säkerställa att ni följer lagen genom att ha rutiner och dokumentation för allt som rör personuppgiftshantering.

Höga krav ställs också på IT-säkerhet för system som överför data. Det gäller behörighetskontroller för att förhindra dataintrång och förhindra förluster eller otillåten tillgång av dina lagrade personuppgifter.

Du har en skyldighet att rapportera alla förluster av persondata inom 3 dagar till Tillsynsmyndigheten. Därför behövs rutiner för rapportering om det skulle inträffa incidenter som måste rapporteras.

Du får inte lagra för mycket information om en person utan bara det som är relevant för ändamålet, så kallad dataminimering. Du får inte heller lagra personuppgifter hur länge som helst, så kallad lagringsminimering.

Du behöver skapa rutiner för gallring eller anonymisering av personuppgifter. Det gäller när syftet eller behovet av att lagra personuppgifter inte längre finns eller kan motiveras.

Du behöver tydliga rutiner

Vid en kontroll ska du kunna visa Tillsynsmyndigheten att du följer den nya förordningen och att du har rutiner för löpande egenkontroll. Du behöver kunna visa att ni har dokumenterade rutiner och processer för säker hantering av register, behandlingar och överföringar av personuppgifter. Du behöver ha kontroll och kunna lista vilka behandlingar av personuppgifter er organisation utför. Behandlingen bör ha ett förutbestämt ändamål och dessa ändamål ska kunna kopplas samman med en godkänd rättslig grund.

Är det verkligen viktigt?

En av de störst drivkrafterna att följa den nya dataskyddsförordningen är att företag som inte följer förordningen riskerar dyra sanktioner. Sanktionerna är bestämda och kan i värsta fall belasta organisationer som bryter mot lagkravet med viten upp till 4 procent av moderbolagets globala omsättning. Det är Datainspektionen som är Tillsynsmyndighet, som ska se till att dataskyddsförordningen efterlevs och som utfärdar sanktioner.

Ökade rättigheter för den som har sina uppgifter hos dig

Den som registreras måste bli informerad om och hur uppgifterna kommer sparas. Personen måste också få veta vilket syfte och hur länge uppgifterna sparas. Den nya dataskyddsförordningen specificerar vilken information man ska ge, när man måste informera och vilka rättigheter den registrerade har. I vissa fall måste man ge sitt godkännande, samtycke innan företaget eller organisationen får lagra personuppgifterna. Detta innebär att du behöver en dataskyddspolicy där personen kan läsa om hur du lagrar dennes uppgifter. Vi hjälper dig att ta fram den om du vill.

Den registrerade har rätt att begära att få ut uppgifter om sig själv och få svar inom 30 dagar i elektroniskt format Den har också rätt att få sina personuppgifter rättade och i vissa fall få sina uppgifter raderad ”rätten att bli glömd”. Rätten innefattar också att kunna återkalla ett tidigare godkännande. I vissa fall innebär det att beslut som har fattats automatiskt baserat på data ska kunna omprövas av en person istället. Du behöver förbereda dig för detta och ta fram rutiner och processer för detta. Ska du ha ett system eller göra det manuellt?

Se över dina avtal

Personuppgiftsbiträden är de externa leverantörer som hanterar ert företags eller organisations personuppgifter. Exempel är molnleverantörer, driftleverantörer eller leverantörer av molnbaserade applikationer och tjänster. Den nya dataskyddsförordningen innebär ett ökat ansvar för personuppgiftsbiträden och det behövs speciella avtal mellan ditt företag eller organisation som stödjer den nya dataskyddsförordningen. Eventuella tidigare avtal med personuppgiftsbiträden kan därför behöva tecknas om. Du behöver gå igenom alla avtal med leverantörer som du har kopplat till din webbplats.

Personuppgifter är en möjlighet till transparens

Dataskyddsförordningen kan uppfattas som en stor omställning, men den innebär också fördelar som till exempel transparens gentemot anställda och kunder. Den visar att ni värdesätter och skyddar era anställda och kunders personuppgifter. Den ökar också möjligheterna att digitalisera och effektivisera många processer som idag är manuella.

Behöver du stöd med vad du ska göra med din webb?

Vi stöttar dig i ditt arbete med att reda ut hur din webbplats påverkas av den nya lagen. Vilken typ av kommunikation och godkännande behöver du för att göra rätt? Behöver du kanske se över de system som är kopplade till er webb idag? Har du rutiner för hur du ska rensa bort personuppgifter? Behöver webbplatsen stödja fler lagringar än vad de gör idag? Lagras personuppgifter i Excelark när det gäller anmälningar till seminarium eller liknande? Det behöver i så fall förändras. Vi hjälper dig reda ut begrepp och skapa rutiner för ditt framtida arbete, så att det kommunikativa arbetet följer lagen.

Relaterade inlägg

Så skriver du en dataskyddspolicy – vad du behöver ha med och hur du skriver det så att besökaren förstår

Vill du veta mer om GDPR?

Fyll i dina uppgifter så kontaktar vi dig och berättar mer.

Ditt namn (obligatorisk)

Din e-post (obligatorisk)

Företag

Rubrik

Ditt meddelande

Vi kommer använda de personuppgifter du lämnar här för att kunna kontakta dig och genomföra ett eventuellt uppdrag. Vi kommer inte lämna ut dem till någon annan.Kontakta oss om du vill att vi tar bort dina uppgifter. Läs mer hur vi hanterar personuppgifter i vår dataskyddspolicy