Är ditt företag redo för de nya dataskyddsreglerna (GDPR)?

25 apr, 2018

Uppdaterad senast: 2018-05-16

Här följer lite information gällande de nya EU-reglerna för dataskydd som börjar gälla den 25 maj 2018.

Den 25 maj 2018 får vi en ny lag med utgångspunkt från EU:s nya förordning om personuppgifter och dataskydd, GDPR. Alla företag och organisationer har då att förhålla sig till en skärpt reglering avseende behandling av uppgifter om enskilda individer, med en hel del krav och sanktionsavgifter.

GDPR (General Data Protection Regulation) är den dataskyddsförordning som ersätter PuL (personuppgiftslagen). Förordningen antogs 27 april 2016 och börjar gälla från den 25 maj 2018. GDPR är en EU-förordning och gäller som lag i Sverige. GDPR vars syfte är att stärka skyddet för fysiska personer vid behandling av personuppgifter inom EU.

Jämfört med befintliga PuL som kom 1998 ställer GDPR nya krav med hot om vite om man inte följer den. Med andra ord är det nu hög tid att agera för att säkerställa rutiner, säkerhet och hur man hanterar personuppgifter i sin verksamhet.

Den nya dataskyddsförordningen, GDPR, reglerar hur ditt företag får hantera personuppgifter. Tanken är att stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda personuppgifter.
Men det innebär också strängare krav och kännbara böter för den som bryter mot reglerna. Därför är det viktigare än någonsin att ha koll på hanteringen av personuppgifter.

Dataskyddsförordningen gäller för alla företag och ideella föreningar inom EU och företag utanför EU, som hanterar personuppgifter om medborgare i EU länder.

GDPR gäller t.ex. om:
– ditt företag har en förteckning över vilka typer av personuppgifter ni har.
– ditt företag har ett kundregister.
– ditt företag skickar ut nyhetsbrev eller annan marknadsföring till kunder.
– ditt företag har ett register över leverantörer.
– ditt företag har någon form av bokningssystem där kunder kan boka tid.
– ditt företag har anställda och sparar uppgifter i ett lönesystem.
– ditt företag har kontaktuppgifter och ev. även foto på några av de anställda på webben.

De flesta moderna webbplatser hanterar idag personuppgifter (Namn, e-post etc.).

Några konkreta saker detta kan gälla är bl.a.:

  • SSL-certifikat rekommenderas om personuppgifter hanteras på sajten. *
  • Rutiner för hantering av e-post då det ingår i GDPR.
  • Nyhetsbrev enbart till de som aktivt godkänt att få dessa.
  • Uppdatera er integritetspolicy som också ska beskriva hur cookies används.
  • Översyn på formulär och hur dessa hanterar personuppgifter.
  • För större webbsystem och e-handel behövs översyn av sajten till exempel med uppdaterade villkor, översyn registreringsformulär och liknande.

* Som ses här kommer Google vid nästa uppdatering av webbläsaren Chrome flagga alla sajter som inte har SSL (https) som “Not Secure” osäkra.

Vad är GDPR?

General Data Protection Regulation, på svenska ”Allmänna dataskyddsförordningen” är en ny EU-förordning som ska stärka skyddet av personuppgifter för privatpersoner i hela EU. Kortfattat innebär GDPR att den som samlar in personuppgifter måste få ett tydligt samtycke från personen vars uppgifter samlas in. Det måste framgå vad uppgifterna ska användas till och man ska när som helst kunna dra tillbaka sitt samtycke.

Det innebär att det inte längre blir tillåtet att samla in personuppgifter för att i hemlighet sälja till tredje part. Du får inte heller samla in en massa persondata utan att säga vad den ska användas till. Som EU-medborgare får man genom GDPR också stärkt ”rätt att bli bortglömd” på nätet. Att alltså kunna begära att personuppgifter man lämnat ut raderas.

GDPR kan vara lite snårigt att sätta sig in i eftersom olika regler gäller för olika typer av register och formulär. Men kortfattat handlar det om hur länge och hur säkert uppgifter om kunder, leverantörer och anställda sparas. Ditt företag blir i och med GDPR också skyldigt att ha en förteckning som beskriver hur ni hanterar personuppgifter.

Kan det få rättsliga följder ifall jag inte lägger upp en integritetspolicy?

Ja. Att samla in data, utan att beskriva för användarna på vilket sätt det görs, är straffbart enligt lag. Det finns även en risk ifall du bryter mot din integritetspolicy och samlar in mer än vad du har uppgett, eller på något annat sätt ändrar sättet du samlar in/använder data på utan att uppdatera policyn.

Läs mer…

Dataskyddsreformen från Datainspektionen
https://www.datainspektionen.se/

Verksamt.se har tillsammans med Datainspektionen tagit fram en guide som tar upp det viktigaste grunderna i dataskyddsförordningen.
https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden

47 vanliga frågor om GDPR
https://www.foretagarna.se/juridisk-faq/ovrigt/gdpr-live-fragor/

GDPR – Dataskyddsförordningen, grupp på Facebook
https://www.facebook.com/groups/950855181730314/

GDPR.se
https://gdpr.se/