GDPR - snart äger ditt företag inte kundinformationen!

GDPR är en förkortning som allt oftare nämns i media och det finns en stor anledning till detta. GDPR är en helt ny förordning som ersätter PUL och träder i kraft 25:e maj 2018. Brott mot förordningen / lagen kan ge straff på 20 miljoner Euro eller upp till 4% av koncernens globala omsättning.

Till skillnad mot PUL som omfattar hantering av personuppgifter, så tar GDPR ett helhetsgrepp om integritetsskyddet.  Vi kommer framöver få höra termer som "Privacy by default" och "Privacy by design". Integritetsskydd ska vara en självklar del i systemen framöver.

Enskilda personer får i och med GDPR större makt över behandling av personuppgifter ex. hur de behandlas. Ytterligare ett viktigt syfte med förordningen är att underlätta för företag att verka inom Europa utan att behöva tillämpa 31 länders skydd.

Just nu pågår många initiativ hos svenska företag att inventera, utvärdera och implementera det nya regelskyddet. Lagen röstades igenom april 2016 och företagen har fram till april 2018 att uppfylla kraven i GDPR.


Tio viktiga förändringar:

  1. Som EU invånare äger jag min kundinfo, inte du! - Kunden får makten över personuppgifterna och företagen kan inte fritt använda dessa som sin egendom som i dagsläget. Du måste alltid ha mitt samtycke och det ska vara klart och tydligt. Uppgifterna kan inte godtyckligt användas till direktmarknadsföring eller profilering. Jag äger samtycket och kan när som helst dra tillbaka det. Samtycket kan inte heller bakas in i en lång användarvillkorstext som ingen läser och som accepteras via ett kryss.
  2. Lämna över mina uppgifter till eller från konkurrent -  GDPR handlar inte bara om förfogandet över datan eller invändningar hur det används. Kunden kommer också ha rätt att begära att uppgifterna lämnas över till konkurrerande tjänster. I vilket format framgår inte bara att det ska vara "allmänt använt" och "maskinläsbart".
  3. Varför, vilka och vart - Varje personuppgift i en organisations IT system ska kunna motiveras och redovisas. Företaget ska kunna besvara vilka uppgifter som finns i systemet och vart i systemet.
  4. Varifrån och vad - Som företag ska du kunna redovisa var datan kommer ifrån (källa), vad den ska användas till och att den är korrekt.
  5. Rätt till access, ändring och radering - Individen har rätt till insyn, att få informationen ändrad eller raderad. Och då fullständig radering överallt. Det får inte finnas kvar någon kännedom om personen.
  6. Ingen hänsyn till typ av infokälla - förordningen omfattar såväl strukturerade som ostrukturerade  personuppgifter som lagras i ex. mail, pdf:er, videos
  7. Hårda krav på datasäkerhet - Dataintrång och att data som faller i fel händer måste alltid rapporteras till EU landets datainspektion (DI i Sverige) inom 72h samt även informera berörda kunder. Det gäller då att kunna lämna ut data och dokumentation när DI knackar på.
  8. Indirekt inhämtad data - Om du inhämtar information om en kund från exempelvis en 3:e part för att få bättre kundkännedom så måste du även kunna lämna ut denna information samt information om 3:e parten.
  9. Barns personuppgifter - Det kommer alltid att krävas tillstånd från föräldrar/vårdnadshavare för att få spara uppgifterna. Utgångsålder är 16 år och gäller exempelvis sociala siter, spelsajter, nätverk mm. Det kommer inte duga med en "Ja, jag är över 16år" knapp - som företag måste du anstränga dig hårdare.
  10. Höga krav på koordinering - Ändring av uppgifter som förmedlats till andra företag, kräver att du också meddelar partners som du delar uppgifterna med. Som företag är du skyldig att försäkra dig att dina partners kan hantera GDPR personuppgifter. Om du exempelvis har en outsourcing-partner så måste du säkerställa att kunddatan lagras inom EU/EES. Alternativet är att ta reda på vilka länder som EU-kommissionen godkänt (som har persondataskydd som motsvarar EUs)


Undantag från GDPR
Undantagna från förordningen är privatpersoner som använder uppgifterna för privat verksamhet (av privat natur eller för familjs bruk), brottsbekämpande myndigheter samt försvaret. Varje EU land kan också införa särskilda undantag från delar av GDPR för ex. massmedia, museer, konstnärligt arbete m.fl. Den så kallade Intresseavvägningsregeln som myndigheter kan åberopa idag slutar att gälla när GDPR införs.


Hur gör man för att uppfylla GDPR?

  1. Utbilda personalen - sprida kunskap och att förstå vidden hur personuppgifter måste hanteras. Vad händer exempelvis om du synkar din e-post mellan dator och telefon och får med dig uppgifter? Namnge en kund i ett SMS?
  2. Inventera - vilka personuppgifter har vi, vart kommer de från, är de aktuella, har de betydelse för oss, har vi rätt att ha dem och vad planerar vi att göra med dem. Dokumentera detta!
  3. Inventera ostrukturerad data - Vad har vi, vart finns de, har vi samtycke från kund att de exempelvis förekommer i videofilmer, pdf-filer, e-mail. Förmodligen kommer Datainspektionen göra skillnad på aktivt datainsamlande och data som samlas i farten ex. videoinspelning.
  4. Ta fram en plan för att uppfylla GDPR  ex. hur ska berörda informeras, hur information ska kunna utväxlas med konkurrenter, hur samtycke hanteras, rutiner för ålderskontroll, utvärdera IT systemen (behövs de byggas om från början). Sammantaget måste företag införa kontroller, checklistor, systemstöd, roller och utbildning för att omsätta GDPR i praktiken

 

Utforma system rätt från början  - Inbyggd integritet

För att säkerställa att du utformar dina system rätt från början och undvika att du behöver lägga till funktionalitet i efterhand så har sju design principer definierats:

  1. Systemet ska vara proaktivt, inte reaktivt dvs förebyggande
  2. Integritet (persondataskydd) ska vara förvald inställning (default)
  3. Integritet ska vara en del av systemets utformning
  4. Full funktionalitet ska bevaras  - realisera win-win istället för nollsummespel (exempelvis om du väger intern säkerhet mot dataintegritetsskydd)
  5. Livscykelhantering för persondataskydd - från början till slut
  6. Synlighet och transparens - öppenhet ska gälla
  7. Respektera användarnas integritet - håll det användarcentrerat

Följs principerna kommer systemet vara effektivt, framtidssäkert och följa GDPR förordningen. För mer information se Privacy by Design 7 Principles.

Johan Bromander, Konsult
Spectrum Digital Solutions AB
LinkedIn

Publicerad 13 Jun 2017

Kontakta oss