GDPR - EU:s nya dataskyddsförordning - hur påverkar den oss?

Vi på Paloma arbetar intensivt för att se till att vår verksamhet följer EU:s nya dataskyddsförordning, som träder i kraft den 25 maj 2018. Vi får in många frågor från er kunder om vad den nya förordningen innebär, vad vi gör, vad du behöver göra och hos vem ansvaret ligger. Vi reder ut det hela nedan.

OBS! Det är viktigt att ha med sig att det ännu inte finns någon praxis kring GDPR, eftersom förordningen är ny och inte träder i kraft förrän i maj. Därmed kan vi endast berätta i stora och generella drag vad som gäller.

 

Vad är GDPR?

Svar: GDPR står för General Data Protection Regulation och är en ny EU-förordning som träder i kraft den 25 maj 2018. Den nya förordningen, som på svenska kallas ”Allmänna dataskyddsförordningen” ersätter PUL, personuppgiftslagen.

 

Vilka gäller förordningen för?

Svar: Samtliga organisationer, branscher och företag som sparar eller på något sätt hanterar personlig information om sina anställda eller sina kunder. Förordningen gäller även dig som har en mindre verksamhet med en enklare webbplats, är bloggare och/eller om du skickar nyhetsbrev till en grupp personer, oavsett antal adressater. Det är viktigt att komma ihåg att GDPR inte bara gäller på webben och digitalt – utan för alla former av insamling av personuppgifter.

 

Vad innebär förordningen i grova drag?

  • Ett stärkt skydd för den enskilde individen gällande dennes personuppgifter.
  • Betydligt hårdare krav på hanteringen av personuppgifterna.
  • Krav på nya rutiner och processer för hantering av personregister.
  • Att den som på något sätt använder sig av eller samlar in personuppgifter måste få ett korrekt samtycke från den enskilde individen.
  • Att den enskilde individen närsomhelst ska kunna dra tillbaka sitt samtycke.
  • Att det framgår varför personuppgifterna samlas in, om det är nödvändigt att samla in dem och vad de ska användas till.
  • Att varje enskild individ har rätt att bli glömd, det vill säga, att bli raderad ur ett företags register.
  • Att varje enskild individ har rätt att få sina uppgifter korrigerade, och flyttade.
  • Att varje enskild individ har en mycket större insyn i hur dennes uppgifter hanteras och lagras. Det betyder att individen närsomhelst ska kunna få information om vilka uppgifter respektive företag har om denne.
  • Att det blir otillåtet att samla in personuppgifter och sälja till tredje part.

 

Vad definieras som en personuppgift?

Svar: En identifierad eller identifierbar fysisk person (i livet). Namn, bilder, e-postadresser, telefonnummer, ip-adresser, DNA, bostadsadresser etc. Egentligen all slags information som direkt eller indirekt kan hänföras och kopplas till en levande, fysisk person.

 

Varför införs den nya förordningen?

Svar: Oavbrutet samlas det i dag in stora datamängder om varje enskild person. När den exempelvis använder digitala verktyg och tjänster, eller när den rör sig genom den digitala världen. EU vill därför säkerställa en hög skyddsnivå för varje medborgare anpassad efter den snabba tekniska utvecklingen. EU vill också värna om medborgarnas integritetsskydd enligt Europakonventionen, där det står skrivet att ”var och en har rätt till respekt för sitt privatliv”.

 

Hur kan respektive företag, organisation och bransch förbereda sig?

Svar: Varje företag och organisation måste förhålla sig till dataskyddsförordningen, vilket i de flesta fall innebär ett stort omställningsarbete. Det är hög tid att se över den personuppgiftshantering som sker idag och skapa processer, rutiner och kvalitetssäkringssystem för att möta den nya förordningens krav.

 

Vad gör vi på Paloma?

Svar: Vi ser över den personuppgiftshantering som sker i dag och skapar processer, rutiner och kvalitetssäkringssystem för att möta den nya förordningens krav. Dessutom jobbar vi för fullt med den utveckling och förändring som krävs av oss, för att du som kund ska kunna tillämpa GDPR korrekt. 

Ett exempel, är att vi bygger olika it-lösningar kopplade till Magnet och Paloma, för att underlätta för dig som kund att följa GDPR. Vår intention är att göra våra webbaserade verktyg GDPR-säkra.

 

Vad behöver du som kund göra?

Här kommer några tips från oss:

  • Försäkra dig om att alla i din organisation känner till GDPR och vad det innebär i stora drag.
  • Se över vilka personuppgifter ditt företag hanterar och lagrar.
  • Se över vad ditt företag egentligen samlar in för personuppgifter i dag.
  • Se till att du har en sammanställning över varför ni har respektive personuppgift lagrad och på vilket sätt. Var transparent!
  • Ta snarast bort all onödig personuppgiftsinformation, och adresslistor som inte används.
  • Anmäl eventuella intrång eller risk att uppgifter hamnat i orätta händer inom 72 timmar till dataskyddsinspektionen och upprätta en process på hur det ska gå till.
  • Se till att någon är ansvarig för att ta hand om ärenden kring rätten att bli glömd.
  • Se till att du kan visa att du har samtycke för dina mottagare till ditt nyhetsbrev. Annars måste du gå ut och be specifikt om det.
  • Utvärdera om det finns ett berättigat intresse för att skicka till exempel ett nyhetsbrev till någon eller om du behöver börja om med din e-postadresslista och kräva aktivt samtycke.
  • Ta reda på vad samtycke innebär. Mottagaren/kunden har alltid rätt att dra tillbaka sitt samtycke.
  • Specificera vad du begär samtyckte till.
  • OBS! Har du missat att lägga till en avregistreringslänk till ditt nyhetsbrev? Gör det redan i dag!

 

Personuppgiftsansvarig - vad betyder det?

Svar: Du som samlar in personuppgifter kallas personuppgiftsansvarig. Du har följande ansvar:

  • Att förstå att persondata är en persons rättighet. Det vill säga du äger den inte, varken som företag eller organisation. Det gör privatpersonen.
  • Att leva upp till ”Privacy by default”. Samla inte data som du inte behöver.
  • Du som personuppgiftsansvarig bestämmer ändamålen och syftet för behandlingen av principerna.
  • Att följa principen att inte tystnad räknas som ett samtycke. Inte heller i förhand ikryssade boxar och/eller inaktivitet.

 

Personuppgiftsbiträde - vad betyder det?

Svar: Vi, det vill säga, Paloma AB och Magnet AB, är så kallade personuppgiftsbiträden. Det innebär att vi är den part som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Enligt Dataskyddsförordningen ska det innehålla:

  • processer för eventuella dataintrång.
  • processer för hur eventuella dataintrång anmäls till Datainspektionen.
  • att vi som personuppgiftsbiträde har högsta säkerhet på våra servrar.
  • dokumentation över vilka personuppgifter vi lagrar, hur vi lagrar dem och varför vi gör det.

 

Vad definieras egentligen som insamling av personuppgifter …?

Svar: Det här är en viktig fråga att fördjupa sig i. Sök på nätet och se över din verksamhet. Du kan exempelvis börja med att se över hur namn och e-postadresser sparas på din server, på din webbplats. Och när du har full koll på vilken information du samlar in, behöver du kunna svara på varför du gör det!

 

Hur formuleras samtycke i förordningen?

Svar: Ett samtycke är ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som till exempel genom en skriftlig, inklusive elektronisk eller muntlig förklaring. För-ikryssade boxar och liknande lösningar är inte längre tillåtna.

 

Om ett samtycke från en kund tjänar flera olika syften? Hur fungerar det då?

Svar: Då bör samtycke ges från kunden för samtliga syften.

Om du till exempel löpande skickar ut ett nyhetsbrev med tema löpning, och samlat in e-post-adresser i samband med det, och sedan kommer på att du vill skriva ännu ett nyhetsbrev med seglingstema, ja då måste du se till att få nya samtycken. Personerna på din maillista har ju inte samtyckt till att prenumerera på nyheter om segling.

Se därför till att det tydligt framgår vad kunden samtycker till. Även i samtycke-/bekräftelsemailet är det viktigt att detta tydliggörs.

 

Hur kommer förordningen påverka respektive företags användning av sociala medier såsom Facebook, YouTube, Instagram, LinkedIn med mera?

Svar: Företag är ansvariga för både sina egna och andra användares publicering på sociala medier. Ansvaret påverkas dock exempelvis av möjligheten att ta bort användares publiceringar eller stänga av funktioner såsom kommentarsfunktionen, etc. Det kommer också krävas ett antal andra åtgärder inom området för social media. Läs gärna mer på nätet och fördjupa dig i frågan om du och din verksamhet är aktiv i social media, med många följare.

Få vårt nyhetsbrev

Få våra smarta tips och öka din kunskap om nyhetsbrev, enkäter och evenemang via vårt nyhetsbrev. Nyhetsbrevet utkommer med ca 10 nummer om året och vi lämnar naturligtvis inte ut din adress till någon och skickar inget annat än nyhetsbrev från oss till dig. Genom att prenumerera samtycker du till att vi använder din e-postadress till att skicka våra kunskapsbrev till dig. Mycket nöje!

Lämna följande fält tomt