GDPR - VEM ÄR DET SOM KÖR EGENTLIGEN?

BAKGRUND

Det nya lagförslaget har uppkommit utifrån att man på EU-parlamentariskt håll identifierat två problem med den nuvarande lagstiftningen. För det första upplever man att EU-medborgare förlorat kontrollen över sina personuppgifter i takt med utvecklingen av Internet, sociala medier och nätverk, Internet of Things och Big Data tagit fart. Den andra anledningen är att lagstiftningen för skydd av personuppgifter inom EU varierar mycket från land till land och EU räknar med att det kostar företagen i medlemsländerna miljardbelopp att följa olikheterna. Därför vill man samla ihop lagstiftningen till gemensamma riktlinjer för att hjälpa företag att växa inom EU och för att säkra medborgarnas integritet.
Förordningen omfattar alla företag och organisationer som är verksamma inom EU på ett genomgripande sätt. Den viktiga förändringen när man går från ett EU-direktiv till en EU-förordning är att en förordning är direkt implementerbar och ersätter tidigare nationell lagstiftning som varit olika medlemsländers tolkningar av det dataskyddsdirektiv som togs fram 1995. Den nya dataskyddsförordningen reglerar hur företag och organisationer ska behandla känsliga personuppgifter och cybersäkerhet.

GDPR är akronymen för General Data Protection Regulation och är den dataskyddsförordning som jobbats fram sedan 2012 och som kommer att gälla för alla organisationer inom EU som behandlar personuppgifter, oavsett storlek på företaget eller organisationen. Förordningen gäller från den 25 maj 2018 i alla länder och deras organisationer inom själva unionen, i alla 28 medlemsstater. Den gäller även för alla organisationer utanför unionen som har data på EU-medborgare, oavsett var organisationen har sitt säte.

Förordningen definierar persondata som all data som sammantaget kan användas för att identifiera en fysisk person - det kan vara förnamn, efternamn, telefonnummer, mailadress, IP-nummer, bilder osv. 

Påföljderna om man bryter mot förordningen kan bli stora. Det högsta bötesbeloppet ligger på fyra procent av företagets årsomsättning eller 20 miljoner euro, där det belopp av de två som är högst gäller. Blir man som företag eller organisation utsatt för ett intrång som kan innebära en risk för ägarna av personuppgifterna så måste man inom 72 timmar underrätta Datainspektionen om vad som har hänt. Om läckan är allvarlig och kan innebära en hög risk för den personliga integriteten för den eller de drabbade så måste även dessa informeras.
Hur ser vi då på vilket ansvar de olika aktörerna borde ha? Det tänkte vi försöka reda ut och även presentera hur vi kan hjälpa er i ert arbete kring GDPR. 

ANSVAR - WEBBYRÅ

Som leverantör av er hemsida, e-handel eller webbaserade system ser vi till att informera er om vilka delar ni behöver på er site för att uppfylla GDPR. Främst handlar det om information mot kunder om vilka olika personuppgifter som sparas och lagras och varför. 

Den gamla Cookie-baren kommer att bli utdaterad och onödig. Vårt förslag till våra kunder är att ersätta den med en tydlig information om “De här uppgifterna sparar vi om dig” samt en tydlig information om exakt vilka personuppgifter som lagras och varför. 

Säker anslutning med SSL-certifikat är något som vi också tillser vid uppsättning av er nya site eller uppgradering av en redan befintlig. Detta är ett krav då krypterad information krävs vid dataöverföring. Viktigt är också att eventuella integrationer också kan hantera säkra anslutningar. 

Vi hjälper också till att tillsammans med er som kund sätta upp rutiner för vilka personuppgifter som lagras på siten, i systemet eller i integrerade system och hur de hanteras vid till exempel “rätten att bli glömd” samt vid eventuellt intrång på siten. För att undvika det sistnämnda erbjuder vi olika paket för löpande support och säkerhetsuppdateringar så att du som kund alltid kan vara trygg i att din site är säker och uppdaterad.

De viktigaste rättigheterna för de era registrerade privatpersoner är att:

  • få tillgång till sina personuppgifter
  • få felaktiga personuppgifter rättade
  • få sina personuppgifter raderade
  • invända mot att personuppgifterna används för direktmarknadsföring
  • invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
  • flytta personuppgifterna (dataportabilitet)

Nytt i dataskyddsförordningen är rätten till dataportabilitet. Denna rättighet kommer att göra det lättare att flytta sina personuppgifter från en organisation eller leverantör till en annan, till exempel om man vill byta socialt nätverk. För organisationer innebär detta att man i många fall måste kunna tillhandahålla uppgifterna i ett allmänt använt och maskinläsbart format. Tänk på att det är viktigt att säkerställa att en sådan begäran verkligen kommer från den registrerade och undersök därför vilka tekniska lösningar kan behövas för detta.

ANSVAR - HOSTINGLEVERANTÖR

Ett av de krav som ställs på företagen är privatpersoners “rätt att bli glömd”. Det är egentligen inget nytt utan regleras redan i vår befintliga lagstiftning kring personuppgifter. Dock innebär detta ett problem vid t ex backup-lagring av databaser och information som företaget har. Gällande “rätten att bli glömd” så regleras inte bara att personuppgifter ska raderas från samtliga backuper som gjorts utan också att personuppgifter bara får sparas den tid som behövs för det eller de särskilda ändamål som de samlades in för. 
Ett samarbete med hostingleverantören måste därför innefatta tydliga rutiner kring hur personuppgifter tas bort från all er lagrade data. Det behöver också finnas rutiner kring hur kommunikationen ska ske vid ett dataintrång, då ni som företag måste informera datainspektionen senast 72 h efter intrånget. Vid en allvarlig läcka med hög risk för den personliga integriteten har ni också en plikt att informera berörda privatpersoner om detta. 

ANSVAR - FÖRETAG

Myndigheter och företag som har som kärnverksamhet att övervaka och monitorera personer eller att behandla stora mängder känsliga personuppgifter måste ha en Data Protection Officer, DPO, som ska rapportera till högsta ledningen. Det ställer stora krav på både teknisk kompetens och processförståelse eftersom DPO:n ska säkerställa att lagen efterföljs och data klassificeras på rätt sätt. Men även företag som inte har skyldighet att ha en dedikerad DPO väljer nu att frivilligt anställa en sådan eller att tilldela någon i organisationen uppgiften för att inte riskera att drabbas av de höga bötesbeloppen. Alla företag och organisationer omfattas av lagstiftning och måste följa riktlinjerna även om inte DPO är ett krav för de flesta. 
Som företag måste du kartlägga alla personuppgifter som hanteras samt dokumentera rutiner för hur hanteringen ska gå till, kommunicera den internt samt följa upp att det efterlevs i din organisation. Du behöver också sätta upp rutiner för spårbarhet och hur ni går tillväga vid eventuella intrång samt skapa möjlighet att snabbt kommunicera ut till berörda privatpersoner. Det är även ert ansvar att se till att ni har en uppdaterad och säker site samt att ni har tillsett att samarbetet med eventuell hostingleverantör fungerar som avtalat. Hostar ni själva er lösning så måste ni själva tillse att data om privatpersoner kan tas bort och att det endast sparas så länge som behövs för ändamålet. 

SAMMANFATTNING

Vi på Noc har mångårig erfarenhet av process- och projektledning såväl som digital affärsutveckling och kan hjälpa er, utöver de rent tekniska delarna, med det interna arbete med kartläggning, rutinskapande och sätta upp strukturerad dokumentation. 

 
volcanoes-691939.jpg
Mattias