efterlevnad av GDPR

En ny era för personligt dataskydd

Vad är GDPR?

Dataskyddsförordningen, eller General Data Protection Regulation (GDPR), är en omfattande uppdatering av personuppgiftslagen. Den nya förordningen, vilken träder i kraft den 25 maj 2018, definierar ansvaret för fysiska och juridiska personer inom EU som behandlar personuppgifter och fysiska och juridiska personer, oavsett geografisk lokalisering, som behandlar personuppgifter för att tillhandahålla en vara eller tjänst inom EU. Förordningen definierar tydligt den registrerades rättigheter, vars personuppgifter behandlas av dessa fysiska och juridiska personer.

GDPR ersätter Dataskyddsdirektiv 95/46/EG, som trädde i kraft 1995. Detta var i princip före internet. Med tanke på alla förändringar som ägt rum sedan dess, avseende insamling och användning av personuppgifter, har GDPR varit efterfrågad sedan länge och tar nu personuppgiftsskyddet in i det 20:e århundradet.

Öppenhet är ett centralt begrepp i GDPR. Kort uttryckt; ingen har rätt att lagra och behandla våra personuppgifter utan vår vetskap och utan vårt samtycke, med undantag av vissa tydligt definierade situationer.

GDPR lägger ett större ansvar på företag att skydda de personuppgifter de samlar in eller behandlar. För att uppnå lagefterlevnad, är "inbyggd integritet" och "integritet som standard" två begrepp som måste styra utvecklingen av alla nya produkter, system och processer. GDPR kräver inte bara att företag uppfyller förordningen, utan dessutom att de tydligt kan påvisa sin lagefterlevnad. Allvarliga brott mot förordningen kan leda till böter på upp till 20 miljoner EUR eller 4 % av företagets årliga globala omsättning, beroende på vilket belopp som är högst.

Nyckelbegrepp

Begrepp

Registrerad – En identifierad eller identifierbar fysisk person.

Personuppgiftsansvarig – En fysisk eller juridisk person eller annat organ som bestämmer ändamålet och medlen för behandlingen av personuppgifter. Ett företag är personuppgiftsansvarig med avseende på personuppgifter de innehar för egen räkning om sina anställda, kunder, leverantörer och andra. Ett typiskt exempel är innehavet och användningen av personuppgifter såsom e-postadresser för marknadsföringsändamål.

Personuppgiftsbiträde – En fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett typiskt exempel är en säljare av automatiserad marknadsföring, som skickar ut e-post avseende marknadsföring på uppdrag av ett annat företag.

Personuppgift

Generellt sett avser “personuppgift” varje upplysning som kan användas för att identifiera en person. GDPR utökar tidigare juridiska definitioner till att inkludera identiteter, såsom:

  • genetiska

  • psykiska

  • kulturella

  • ekonomiska

  • sociala

Samtycke

GDPR anger hårdare krav på vad som utgör samtycke när registrerade lämnar sina personuppgifter. Ett typiskt exempel är när besökare på en webbplats väljer att medverka i en e-marknadsföringskampanj genom att lämna ut sin e-postadress.

GDPR stipulerar att samtycke måste vara:

  • frivilligt – en arbetsgivare som begär personuppgifter från en anställd skulle inte uppfylla detta krav pga. relationen

  • specifik – det måste framgå klart att uppgifterna som insamlas endast kommer att användas för specifika aktiviteter

  • informerat – den registrerade måste ha tillräckligt med information om dessa aktiviteter för att kunna fatta ett informerat beslut

  • otvetydigt – “samtycke ska ges med en tydlig bekräftande handling”; detta är en av GDPRs mest väsentliga förändringar, då det innebär att det inte längre är lagligt att få den registrerades samtycke genom en förkryssade ruta

Personuppgiftsansvariga har nya efterlevnadskrav, inklusive:

  • Då man begär om samtycke, måste personuppgiftsansvariga använda ett enkelt och tydligt språk vid kommunikation med de registrerade

  • Samtycke måste kunna verifieras. Företag måste bevara uppgifter om samtycke som kan kontrolleras för att verifiera:

    • att den registrerade har samtyckt

    • vad han eller hon samtycke till

    • när han eller hon samtyckte

Registrerades rättigheter

GDPR definierar olika rättigheter som alla EU medborgare har som registrerade. Vi har alla rätt att veta vem som innehar och behandlar våra personuppgifter, och för vilka ändamål. Vi har också rätt att:

  • begära ett personuppgiftsutdrag och att erhålla det i ett dataportabelt format

  • få felaktigheter rättade

  • begära att våra uppgifter varaktigt raderas

  • begränsa typen av personuppgifter som kan lagras och behandlas

  • begränsa hur våra uppgifter kan behandlas

  • återkalla vårt samtycke när som helst

  • bli tydligt informerade om dessa rättigheter

I sin tur krävs det av personuppgiftsansvariga att:

  • de gör det lika lätt för registrerade att återkalla sitt samtycke som det är att ge det

  • vidta alla rimliga åtgärder för att verifiera identiteten hos de registrerade som gör dessa förfrågningar

  • svara på och fullfölja dessa förfrågningar utan orimligt dröjsmål (inom en månad efter mottagen förfrågan)

  • radera personuppgifter så snart ändamålet för vilket de insamlades har upphört (utan att vara beroende av begäran från de registrerade att göra så)

  • säkerställa att deras avtal med personuppgiftsbiträden specificerar att säkerhetsåtgärder avseende GDPR-efterlevnad är etablerade för att skydda personuppgifter

Underlättande av din GDPR-efterlevnad

Digitalisering av dina processer underlättar alltid lagefterlevnad. Även om du redan är 100 % papperslös, kräver GDPR dock ett antal förändringar i dina system och processer. Scrive kan hjälpa till med detta.

Såsom både personuppgiftsansvarig och personuppgiftsbiträde, är Scrive på god väg mot fullgod GDPR-efterlevnad, och därmed förstår vi de utmaningar som våra kunder står inför. Som pålitlig partner i digital transformation erbjuder vi eleganta lösningar som förenklar dina processer, sänker dina kostnader och stärker ditt varumärke. Faktum är att vi använder Scrive-lösningar och expertis i vår egen verksamhet, och det gäller även vår GDPR-efterlevnad!

Lär mer om hur Scrive kan hjälpa dig med din GDPR-efterlevnad.