Har du stött på begreppet GDPR och undrat vad det är? Är det något som du egentligen behöver ha koll på? Svaret är – Absolut! När den nya dataskyddslagen träder i kraft i maj 2018 och ersätter personuppgiftslagen (PUL) ställer den helt nya krav på dig som företagare. Här ger vi dig en bra överblick av vad GDPR innebär och vad du behöver veta för att stegvis anpassa ditt företag till kraven i nya lagen!
Det är lätt att känna sig osäker på vad det nya lagen faktiskt kommer att innebära för dig som företagare. I grunden handlar GDPR (General Data Protection Regulation) om att öka integritetsskyddet för privatpersoner. Det i sin tur innebär skärpta regler för hur du som företagare hanterar personuppgifter – från ax till limpa. Det kan bli en dyr historia att inte följa lagen då det kan innebära böter (och det vill vi ju såklart inte!). Så låt oss kicka igång arbetet och steg för steg gå igenom vad du behöver ha koll på!
Vilka rättigheter ger GDPR?
Att ha koll på vilka rättigheter som den nya lagen faktiskt innebär för privatpersoner ger en tydligare bild över vilka skyldigheter ditt företag har. Det blir helt enkelt lättare när du börjar att se över vad ni har på plats och inte på ditt företag.
- Rätten att bli informerad innan uppgifter samlas in. Konsumenter måste gå med på att deras data lagras och medgivandet måste ges aktivt istället för att det ges underförstått.
- Rätten att begära tillgång till personuppgifter och fråga hur uppgifterna används. Ditt företag måste kunna lämna ut en kopia av kundens personuppgifter om han eller hon begär det.
- Rätten att få information korrigerad. Möjlighet att ändra de personuppgifter som finns sparade hos er.
- Rätten att bli glömd. Om en person inte längre är kund hos er eller om han/hon inte längre vill att ni använder personuppgifterna, så har individen rätt att radera dem.
- Rätten att kräva att personuppgifter inte används.
- Rätten att överlåta personuppgifter från en leverantör till en annan.
- Rätten att säga nej till att personuppgifter används för till exempel direktreklam. Det finns inga undantag till den här regeln. All användning måste upphöra så fort den här begäran tagits emot hos er. Du måste förtydliga och understryka detta i inledningen på all kommunikation.
- Rätten att bli informerad om det har skett ett dataintrång som kan äventyra en individs personuppgifter. Individen har rätt att bli informerad inom 72 timmar efter dataintrånget.
Så med detta i bakhuvudet kan vi nu starta arbetet som gör att du säkerställer att ni har ert på det torra innan nya lagen träder i kraft. Så häng med!
1. Lär dig mer
En bra start är att du lär dig mer om vad den nya dataskyddslagen innebär och tar del av artiklar och inlägg som finns på nätet med fokus på GDPR. Att du tar dig tid att läsa på ger dig en bra grund att stå på när du nu startar ert arbete. Men först, vad menas egentligen med “personuppgift”?
En personuppgift kan vara ett namn på en kund och ett personnummer men det inkluderar även all information som kan länkas till en individ. Exempelvis en e-postadress, IP-adress, en uppdatering på sociala medier, GPS-position, eller en cookie. Ja, det finns helt enkelt spår av både dina och dina kunders personuppgifter överallt på nätet. I det digitala samhället lämnar vi hela tiden digitala fotspår. Så ställ dig frågan vad ni samlar in för personuppgifter på exempelvis er hemsida?
2. Informera och utbilda
Nästa steg är att se till att informera och engagera dina kollegor så att de också har koll på vad “personuppgifter” egentligen är och vad den nya lagen innebär. Kanske är det någon av er som arbetar lite extra med kundernas personuppgifter? I så fall behöver du engagera dem så att de får koll på vad som förväntas av dem när nya lagen börjar gälla.
När era kunder sedan kommer med frågor om hur ni arbetar med dessa frågor – kan ni stolt meddela att ni har koll på läget. Så varför inte lyfta det här med GDPR redan på nästa teammöte och göra en plan för hur ni ska sätta igång arbetet?
3. Ta reda på var personuppgifter finns lagrade
Nu är det dags att se över var ni har era kunders personuppgifter. Kanske finns de i era mejlkorgar, på en excel-fil och kanske några finns i ert CRM-verktyg? Ja, ställena där personuppgifter kan finnas kan vara många. Den nya lagen innebär att ni behöver ha koll på vilka uppgifter som finns och framförallt var de finns och sedan göra en sammanställning av “registren”. Här är några frågor som hjälper er att komma igång:
- Vilken typ av personuppgifter hanterar du?
- Hur hanterar du dem och varför?
- Vem har tillgång till dem?
- Finns det några hot mot integriteten och vilka skador kan de medföra?
4. Se till att vara transparent
Den nya lagen innebär också att ni behöver se till att göra det enkelt för kunderna att få veta vilka uppgifter ni har om dem. Det får helt enkelt inte komma som en överraskning att din kunds personuppgifter finns sparade hos er. Dessutom ska det vara enkelt för dina kunder att uppdatera eller ta bort sina personuppgifter om de vill. Så nästa steg blir att svara på frågorna:
- Hur fungerar det idag?
- Har ni några rutiner för detta idag?
- Är det något ni behöver göra för att göra det enkelt för era kunder?
- Är de kanske något ni behöver förbättra eller förtydliga i era arbetsflöden?
5. Se över dokument och rutiner
Med den nya lagen måste privatpersoner godkänna att du sparar och använder deras personuppgifter. Det innebär att det inte längre räcker med att du använder dig av förkryssade rutor på hemsidan där man exempelvis väljer att prenumerera på ditt nyhetsbrev. Det kanske är hög tid att se över vad som står skrivet i er policy om hantering av personuppgifter på hemsidan? Och efter det ändra och uppdatera om det skulle behövas!
Känner du dig fortfarande osäker på vad den nya lagen innebär eller inte vet var du ska börja? Du kan vara lugn – det finns bra hjälp att få. Varför inte kontakta en juristbyrå som hjälper dig vidare? Det är klokt att prata med en expert som kan hjälpa dig att se över vad du och din verksamhet behöver göra för att uppfylla kraven i GDPR.
Vill du lära dig ännu mer om GDPR? Då tipsar vi dig om att läsa mer om den nya dataskyddslagen på Datainspektionens hemsida.
