Ansvarsbegränsning: Denna artikel har skrivits för din bekvämlighet och utgör inte juridisk rådgivning.
GDPR står för General Data Protection Regulation, eller Allmänna dataskyddsförordningen som den heter på svenska.
Hela idén bakom GDPR är att harmonisera lagar om integritetsskydd i hela Europa för att skydda och ge alla Eu:s medborgare högre datasäkerhet. Det betyder också att man på en strategisk nivå, omformar hur organisationer får behandla persondata.
GDPR i Sverige
Även om GDPR kan tyckas var stort och skrämmande är den faktiskt avsedd för att förenkla hanteringen av de europeiska lagarna. Före GDPR hade nämligen varje land inom EU olika dataskyddslagar, vilket gör det svårt för företagen att hålla samma standard över hela Europa och det var enkelt för oss här i Sverige att bryta mot regler som t.ex. gäller i Spanien.
Med GDPR som en enhetligt uppsatt lag kan företagen därmed kontrollera detta på ett sätt istället för att man måste hantera lagen land för land.
För vem gäller GDPR?
GDPR gäller alla organisationer och företag som är belägna inom EU – därmed också företag i Sverige. Men GDPR gäller också organisationer utanför EU som innehar och förvaltar personuppgifter för medborgare som bor i Europeiska Unionen. Det innebär att GDPR gäller för alla företag som på något sätt hanterar personuppgifter för personer som är bosatta inom EU:s gränser.
Vad är personuppgifter?
”Personuppgifter” är information som kan användas direkt eller indirekt för att identifiera en person, till exempel en e-postadress, namn, adress eller en IP-adress. Men det kan också vara information om en konferensdeltagare som t.ex. matallergier eller data som finns i Google Analytics. Det är därför viktigt att se över var ni spara data om era kunder och kontakter och att du vet vem som bär ansvaret för hanteringen av uppgifterna.
Roller inom GDPR – ”Personuppgiftsansvarig” vs ”Processor”
I och med GDPR så har det uppkommit två nya roller: controller och processor. Controller på svenska kallas för ”Personuppgiftsansvarig”. De två rollerna är ofta olika företag. För de flesta fallen är du Personuppgiftsansvarig och dina leverantörer är processorer.
Som Personuppgiftsansvarig tar du beslut om hur datahanteringen ska gå till inom ditt företag eller organisation. Du bär därför det övergripande ansvaret för att alla hanteringen av data följer riktlinjerna i GDPR-direktivet. Den faktiska hanteringen av själva datan kan dock överlåtas till processorn.
Som företag och personuppgiftsansvarig är du bl.a. ansvarig för att kunna visa för datainspektionen hur det går till att samla in data från dina kunder och kontakter.
GDPR i Sverige men med utländska tjänster?
I många fall har du som företag i Sverige idag flera digitala tjänster som hanterar data. Du kanske använder Mailchimp som mailverktyg, HubSpot som marketing automationverktyg eller TypeForm för dina formulär? Och ovanpå allt detta sparar Google Adwords uppgifter om vad dina besökare klickat på och Google Analytics vilka sidor de besöker på din hemsida. Alla dessa uppgifter, som kan knytas till en enskild person, ska alltså kunna hanteras på ett säkert och pålitligt sätt.
Dessa tjänster processar alltså den data du samlat in och kallas därför för Processor.
Både controllers och processer har sitt eget ansvar enligt GDPR. Därför bör även du som företag säkerställa säkerheten. Det viktigaste för dig som Personuppgiftsansvarig är att enbart jobba med tjänster eller företag (processors) som följer GDPR och att du vet hur du ska göra för att t.ex. ta bort, ändra eller hantera personuppgifterna som finns lagrade i dessa system.
Personers rättigheter inom GDPR i Sverige
I GDPR står det att att registrerade personer bör ges information om de syften som deras personuppgifter ska behandlas. De har också rätt till åtkomst, ändringar, radering, rätten att begränsa hur du använder deras uppgifter osv. I praktiken betyder det att en person kan kontakta dig och instruera dig att raderas deras personuppgifter eller sluta bearbeta den. Se därför till att du vet hur du kan göra detta för de tjänster som du använder.
GDPR – samtycke
Personer som fyller i ett formulär på din hemsida lämnar frivilligt ifrån sig sina personuppgifter och anses därför samtycka att du får behandla deras uppgifter enligt GDPR. Men du bör upplysa dem om att det är så.
- De registrerade ska ges en tydlig förklaring för hur du kommer behandla deras personuppgifter.
- Samtycket att du får hantera deras personuppgifter på det sätt du angivet ska vara frivilligt.
- Företag eller organisationer får inte förlita sig på tystnad eller inaktivitet för att samla samtycke (t.ex. förmarkerade checkboxar eller att personerna inte hör av sig och aktivt säger att de ej vill ha ditt företags mail mer).
- Hur du hanterar de registrerade personuppgifterna ska förklaras på ett lättförståeligt språk.
- Den registrerade bör vara medveten om ditt företags identitet och hur du har tänkt att behandla personuppgifterna.
För att följa GDPR bör du alltså se till att de registrerade förstår hur deras persondata kommer att användas och ge dem möjlighet till att uttryckligen ge sitt medgivande till sådan användnings. Detta sker oftast genom en uppdaterad Privacy Policy.
Det är viktigt att förstå att det är för dig som företag och personuppgiftsansvarig som det är viktigt att ha samtycket på pränt. Om du någon gång skulle ifrågasättas så är detta ditt bevis för att du inte brutit mot GDPR-lagen.
Vilka GDPR-regler gäller för just ditt företag?
Hur du använder personuppgifter skiljer sig stort mellan varje företag. Har du frågor om hur just ditt företag ska agera så rekommenderar vi dig att kontakta en advokat som är specialiserad på GDPR.
Här är några saker du kan göra för att bättra rusta dig för GDPR:
- Se över din integritetspolicy så att de inkluderar de nya kraven
- Se över vilka tjänster du använder (t.ex. marketing automation, mailtjänster, formulär, CMS m.m.) så att de alla är GDPR-kompatibla.
- Se över dina avtal med de tjänster du använder t.ex.
- Säkerställ att du vet hur du gör om någon vill att du raderar, ändrar eller lämnar registerutdrag från de data du har om en viss person.
- Säkerställ att du har möjlighet att förstöra eller kasta personuppgifter på begäran eller när er affärsmässiga relation tar slut.