GDPR
Allmänna dataskyddsförordningen

(The General Data Protection Regulation)

Ny lag inom EU från 25 Maj 2018 om behandling av personuppgifter och dataskydd

  • Har du en hemsida? 
  • Tar du emot e-post av kunder? 
  • Får du förfrågningar av kunder via en hemsidas kontaktformulär?
  • Om du svarat JA på något av ovanstående frågor, så berör denna text just dig, så läs detta noga!

Några viktiga punkter du behöver kontrollera och som nya lagen kräver din hemsida bör omfatta:

  1. Är din nuvarande hemsida baserad på en platform som ger möjlighet till SSL certifikat? Din hemsida bör ha en web adress som innehåller detdär S, ser ut såhär: h t t p : / / www tidigare saknades detta S som står för secure/säker. Har du alltså en hemsida utan SSL med ett kontakt formulär och epost adress enligt nedan på sidan, då måste din hemsida uppdateras så den blir SSL certifierad. 
  2. Har du epost som kommer via din hemsida och länkad in till ex google? Du har ex en epost med info@dinsida.com men den eposten når ditt gmail konto i ex gsuite/gmail. Då bör hemsidan vara SSL cerfifierad som handhar e-posten före den når det säkra gmail kontot
  3. Ger din nuvarande hemsida möjlighet att välja om man accepterar cookies?
  4. Har din hemsida en flik som omfattar integritetspolicy? (Privacy Policy) Detta är också ett nytt lagkrav som måste finnas på din hemsida numera!

Den 25 maj 2018 får vi en ny lag med utgångspunkt från EU:s nya förordning om personuppgifter och dataskydd, GDPR. Alla företag och organisationer har då att förhålla sig till en skärpt reglering avseende behandling av uppgifter om enskilda individer, med en hel del krav och sanktionsavgifter.

Jämfört med befintliga PUL som kom 1998 ställer GDPR nya krav med hot om vite om man inte följer den. Mao är det nu hög tid att agera för att säkerställa rutiner, säkerhet och hur man hanterar personuppgifter i sin verksamhet. 

GDPR - Vad är det?

GDPR står för General data protection regulation, på svenska Allmänna dataskyddsförordningen. Mycket förenklat innebär förordningen:

1. Samtycke krävs för att samla in och behandla personuppgifter.

2. Syftet med insamlandet och behandlingen ska tydligt framgå.

3. Berörda personer ska ha tillgång till, och möjlighet att justera, sina uppgifter.

4. Berörda personer ska kunna få sina uppgifter borttagna.

5. Om dataintrång sker ska detta anmälas till den nationella tillsynsmyndigheten inom 72 timmar.

GDPR - Några exempel på områden där förändringar kan behövs i sättet att arbeta med personuppgifter
Nedan punkter visar mycket tydligt hur GDPR har hög relevans inom IT såsom lagring av data och marknadsföring:

Policy & Rutiner: Företag ska kunna visa att förordningen följs - det ställs högre krav på eget ansvar och förebyggande insatser. Rutiner, dokumentation och policyer ska finnas på plats och kunna redovisas. Tex hantering vid dataläcka eller liknande.

Inkluderar ostrukturerad data: GDPR gäller all behandling av personuppgifter, inklusive det som kallas ostrukturerad data, det vill säga löptext i tex word, epost, fritextfält i olika system, sociala medier etc. En personuppgift är något som direkt eller indirekt kan identifiera en fysisk person, som namn, bild, IP-nummer, gatuadress osv. (Om alls möjligt undvik att lagra känsliga personuppgifter som tex ras, etnicitet och ursprung samt politiska, ideologiska och religiösa åsikter.)

Aktivt samtycke krävs för lagring: Besökare måste få tydlig information och ibland lämna sitt samtycke innan personuppgifter behandlas digitalt, det gäller tex spårning, insamling och lagring av data. Samtycket ska vara granulärt, dvs valbart på detaljnivå, och även inkludera syftet med att informationen samlas in.

Man äger själv sin egen data: På begäran ska registerutdrag lämnas ut, där den registrerade har rätt att få ut all personuppgiftsinformation som ni har lagrat - även ostrukturerad data i alla system. Inkluderar rätten att på begära få sin data raderad.

GDPR - Strategi för införande, upprätta en plan redan idag!

Man kan tänka sig nedan steg i ett införande:

1. Utse ett dataskyddsombud som är internt ansvarig för att företaget implementerar dataskydd på ett fullgott sätt.
2. Kartlägg ert nuläge: vilka personuppgifter hanterar ni? Vilka register och system använder ni?
3. Utbilda internt, håll tex en workshop för att identifiera vilka delar är mest brådskande för just ert företag?
4. Uppdatera era avtal med leverantörer, personuppgiftsbiträdesavtalen.
5. Dataskydd är en ledningsfråga, men se också till att rätt personer i organisationen involveras och får rätt resurser.

GDPR - Några specifika områden som vi tänker kommer beröra vår egen verksamhet

Här listar vi några konkreta områden och specifika exempel som vi tänker är angelägna för oss och våra kunder.  

Hosting & Webbhotell

  1. - Om tredje part står för drift av servers som inkluderar personuppgifter krävs ett personuppgiftsbiträdesavtal som visar att rutinerna följer GDPR.
    - SSL kan ses som ett måste om personuppgifter hanteras på sajten, egentligen redan på formulärnivå definitivt när det gäller e-handel.
    - Hur hanteras backuper och databaser, raderas gammal data och hålls också säkerheten hög på dessa?
    - Kom ihåg att även epost ingår i det som kallas ostrukturerad data och alltså ingår i GDPR.
  2. Nyhetsbrev
    - Självklart skickar ni väl bara till de som godkänt att ta emot era utskick. Har ni också koll på vilka ni skickar till, om någon frågar ska du kunna ge ut vilka uppgifter du har om vederbörande.
    - Här kan man lägga märke till att hur du vill använda personuppgifter uttryckligen måste godkännas, det är inte ok att förutsätta att du kan skicka nyhetsutskick bara för att personen är kund, de ska ha godkänt aktivt att de vill ta emot nyhetsbrev.
  3. Marknadsföring & Cookies
    - Säkerställ att du har tydlig info på hemsidan med en integritetspolicy. Texten skall vara skriven på ett sådant sätt att den är lättbegriplig för den tilltänkta målgruppen.
    - Man måste kunna tacka nej till spårnings-cookies, men godkänna cookies för att webbplatsen skall fungera. Här ingår möjlighet att dra in sitt samtycke om dessa saker.
  4. Webbutveckling & Webbsystem med personuppgifter, tex e-handel.
    - Om du driver e-handel kommer du behöva se över köpvillkor och det som gäller hantering av personuppgifter.

GDPR: Viktigt att få koll på läget före maj 2018
Som en summering skulle vi säga att man bör säkerställa nedan tre områden innan lagen träder ikraft.
1. Register: Kan din verksamhet uppvisa ett register över vilka typer av personuppgifter ni behandlar samt dokumentation som visar hur ni tillser att uppfylla personuppgiftslagstiftningen tex vid en dataläcka.
2. Processer: Ni har processer på plats för att se till att alla epost-utskick, SMS och annan kundkommunikation där personuppgifter används, sker med exempelvis samtycke, med stöd av avtal, med stöd av en intresseavvägning eller annan laglig grund.
3. Säkerhet: Ni har kontroll på att era IT-system där det finns kunduppgifter och uppfyller kraven på informationssäkerhet. Ni gallrar regelbundet bland gamla kunduppgifter så att de inte sparas för länge.

Till skillnad från tidigare PUL lagstiftning kan brott mot GDPR innebära en sanktionsavgift. Vite kan utgå på upp till 20 miljoner Euro eller 4% av bolagets totala omsättning. Alla misstänkta övertramp mot GDPR kan anmälas till Datainspektionen som sedan får bedöma om ev brottsutredning och påföljd. Att säkerställa att man rimligt följer lagstiftningen blir därför prioriterat för alla företag.

Här är en länk till Finlands Kommunikationsverk, läs igenom detta också:


English

Here is an article posted on CNBC by Arjun Kharpal - 30 March 2018

  • Everything you need to know about a new EU data law that could shake up big US tech
  • The General Data Protection Regulation (GDPR) will come into force on May 25 2018.
  • It will affect companies located in the European Union but also those that have operations and customers there too.
  • The key principle of GDPR is giving consumers control of their data.
  • There are fines of up to 4 percent of total global turnover if rules in the GDPR are breached.

You may have heard of the General Data Protection Regulation (GDPR). But most likely you haven't because it sounds boring, but it's really important and CNBC has a guide to help you understand it.

It's a piece of European Union (EU) legislation that could have a far-reaching impact on some of the biggest technology firms in the world including Facebook and Google.

So here's your guide to the GDPR.

What is GDPR?

GDPR is a piece of legislation that was approved in April 2016. European authorities have given companies two years to comply and it will come into force on May 25, 2018.

It replaces a previous law called the Data Protection Directive and is aimed at harmonizing rules across the 28-nation EU bloc.

The aim is to give consumers control of their personal data as it is collected by companies. Not only will it affect organizations located within the EU, but it will also apply to companies outside of the region if they offer goods or services to, or monitor the behavior of, people in the bloc.

This is why GDPR could have a far-reaching impact.

What are the key policies?

A major focus of GDPR is on conditions of consent which have been strengthened. So companies will not be able to use vague or confusing statements to get you to agree to give them data. Firms won't be able to bundle consent for different things together either.

"If you have a page of different consent, and saying by clicking here you consent to lots of things, that will be wrong, you need to be able to apply that consent individually," 

Consent must also be easy to withdraw.

For children under 16, a person holding "parental responsibility" must opt-in to data collection on their behalf.

Another rule will make it mandatory for companies to notify their data protection authority about a data breach within 72 hours of first becoming aware of it. The processor of the data will need to notify customers "without undue delay" after learning of the breach, according to an EU document.

When it comes to user data, consumers will have more control. You will be able to access the personal data being stored by companies and find out where and for what purpose it is being used. You will also have the right to be forgotten. This means you can ask whoever is controlling your data to erase it and potentially stop third parties processing it too. Another provision of GDPR allows people to take their data and transfer it to a different service provider.

Are there punishments for breaking the rules?

Yes, and potentially big ones. An organization in breach of GDPR laws will be fined up to 4 percent of annual global turnover or 20 million euros ($24.6 million), whichever is bigger.

Some of the biggest technology companies are making billions in turnover every year so this could be a big hit if they were to breach any rules.

What will the impact be on firms?

Big organizations have had two years to get themselves ready for GDPR.

The big technology firms who have huge user bases and handle massive amounts of data have spoken about what they are doing. Facebook recently released some new privacy tools which will help it comply with GDPR. Other big technology firms have also released their plans on GDPR.

In a recent note, Barclays said that GDPR is likely going to impact social networks.

"We think there is a risk that reported MAUs (monthly average users) could drop off for Facebook and Twitter starting in late 2Q. DAUs (daily average users) are far more important and less of a GDPR concern for the social networks, but may also drop off a bit," Barclays analysts said.

"In terms of ad revenue, we see less of an impact, but have heard additional concern around products like custom audiences which all platforms are using. Our checks suggest that most companies using cookies and tags for digital marketing should be relatively unchanged as most publishers have been using GDPR compliant notifications for months ahead of the May mandate."