General Data Protection Regulation
GDPR (General Data Protection Regulation) träder i kraft den 15 maj, 2018. I denna bloggserie på tre delar vill vi på Eseco ge dig en bild av vad denna förändring innebär ur ett e-handelsperspektiv. I del ett ger vi dig en generell introduktion i hur de nya reglerna förändrar hanteringen av personuppgifter.
Detta är ett blogginlägg av oss på Eseco, vill du läsa mer om hur du som företagare ska gå till väga rekommenderar vi Integritetsskyddsmyndighetens sida.
Bakgrund
GDPR ersätter PUL, personuppgiftslagen från 1995, som i sin tur grundar sig på DPD (Data Protection Directive).
Regelverket gäller alla branscher som sparar eller på något sätt hanterar personlig och känslig information. De stora skillnaderna mellan PUL och GDPR är: vad som är tillåtet, krav på dokumentation och att missbruksregeln försvinner. Påföljderna, om man inte uppfyller GDPR, är märkbart större än tidigare.
För att uppfylla det nya regelverket, pågår just nu inventering av personuppgiftshantering som bäst hos alla bolag runt om i Sverige, Europa och resten av världen. En EU-medborgares skydd gäller oavsett var i världen hens uppgifter hanteras. Allt från mailprogram, löneprogram och intranät, till webbutiker, medlemsregister och kundklubbar synas i sömmarna.
Vad är en personuppgift?
En personuppgift är en uppgift som kan leda till att man kan identifiera en individ. Detta kan t.ex. vara namn, adress, personnummer, telefonnummer eller e-postadress.
Grunden i GDPR
Andemeningen i GDPR är att varje person är fri, oberoende och styr över sina egna uppgifter/handlingar utan att påverkas utifrån. GDPR ska ge invånarna inom EU större kontroll över sina personuppgifter. Målet är också att den enskilde ska få garantier om säker behandling av de egna personuppgifterna.
Så påverkar GDPR ert arbete
GDPR är genomgripande och berör hela organisationen. Styrelse och koncernledning har ansvar för att hantera och bedöma risker som företaget utsätts för, som t.ex. risken för sanktioner i de fall man inte uppfyller kraven. I vissa fall ska man ha utsett ett dataskyddsombud (Data Protection Officer).
Man ska kunna visa att man uppfyller GDPRs krav på hantering av personuppgifter och innehar korrekt hantering, om och när man blir inspekterad. Det betyder att det ska finnas fullgod dokumentation på vilka personer som har tillgång till personuppgifter, var dessa uppgifter finns lagrade samt vilken typ av information man har tillgång till.
GDPR-frågor att ställa er
Det första man bör göra är en inventering av alla sina system och processer. Förslagsvis tillsätter man en grupp nyckelpersoner som tar sig an införlivandet av GDPR i företaget och de kan börja med att ställa följande frågor:
- Vilken information har vi och varför (t.ex. namn, adress, personnummer, adress, telefonnummer)?
- Var och hur sparas den (i mail, affärssystem, löneprogram, kundklubbar, adressregister)?
- Vem kommer åt informationen (andra system, länder, företag inom /utom koncernen)?
- Vilka risker finns med den data vi har hand om (intrång, skyldighet, kryptering, rapportering)?
- Hur ska vi uppfylla kraven och hur visar vi att vi uppfyller kraven?
- Hur hanterar vi en kris (incident, klagomål eller andra typer av problem i frågan)?
- Hur säkrar vi upp alla rättigheter och hur sköter vi tillsynen?
- Hur hanterar vi sanktioner och skadeståndskrav?
Dokumentera era svar noga. Dessa hjälper er att gå vidare med att uppfylla de krav som ställs i samband med införandet av GDPR och ni har en bra grund att stå på för att utforma kommunikationen utåt i hur ni arbetar med GDPR.
I nästa del kommer vi att gå igenom de nio grundläggande rättigheterna i GDPR och vad det innebär att uppfylla dessa.
