Dataskyddsdagen, 28 januari
Dataskydd är ett begrepp som används för att ange skyddet för den personliga integriteten i de regelverk som ska tillämpas vid behandling av personuppgifter.
GDPR (General Data Protection Regulation) är förkortningen på den europeiska dataskyddsförordningen som gäller i alla EU:s medlemsländer sedan den 25 maj, 2018. Den reglerar hur företag och föreningar ska hantera personuppgifter. Om företag inte efterlever GDPR kan de drabbas av mycket höga sanktionsavgifter, dvs böter, i värsta fall i miljonklassen.
Eftersom det kan vara svårt att förstå vad förordningen innebär rent konkret och vilka krav som ställs på dig som företagare, har vi sammanställt en enklare guide med våra 5 bästa tips till dig för att öka din kvalitet på dataskydd och ge dig bättre kontroll på regelverket.
Gäller det för alla?
Ja, förenklat uttryckt gäller dataskyddsförordningen, GDPR, för alla som har en verksamhet – oavsett driftsform. Dock behöver inte mindre företag omfattas av kravet att t ex ha ett dataskyddsombud. Men, du behöver följa grundprinciperna. Därför är det en god idé att ha skriftligt dokumenterat vilka personuppgifter som behandlas i ett behandlingsregister enligt GDPR. Detta så att du vet att du följer reglerna t.ex. om ändamål och rättslig grund för behandlingen av uppgifterna och inte sparar dem för länge. Det kan också vara bra att ha skrivit ner varför du väljer att ditt företag inte ska ha dataskyddsombud.
När du har enskild firma är det du som är personuppgiftsansvarig. Om du har AB är det bolaget som är personuppgiftsansvarig.
Blir jag påverkad som privatperson?
Dataskyddsförordningen stärker dina rättigheter som privatperson. Det är enklare för dig att ta reda på vilka personuppgifter om dig som ett företag eller annan organisation hanterar. Du har rätt att få felaktiga personuppgifter korrigerade och i vissa fall rätt att få uppgifter raderade.
Är det skillnad på PUL och GDPR?
Den primära skillnaden mellan PUL – Personuppgiftslagen, och GDPR – EUs generella dataskyddsförordning, är att företag idag ska kunna redogöra för syftet med att inneha personuppgifter. GDPR stipulerar att företag även måste kunna visa vad de vill göra med personuppgifterna som samlas in, registreras eller sparas. PUL är lite smalare och handlar primärt om vad företagen gör med informationen när den väl är insamlad eller registrerad.
Visste du att om du exempelvis har ett kontaktformulär på din hemsida för att samla in offertförfrågningar, så måste du inhämta personens samtycke till att lagra personuppgifterna i syfte att kunna återkoppla till personen?
Likaså om du till exempel vill använda samma personuppgifter, som du samlar in vid offertförfrågningarna, till att skicka ut reklamutskick över mejl, så måste du samla in ett separat samtycke till detta från dessa personer.
Här kommer våra 5 tips till bättre dataskydd för dig och ditt företag
Inhämta samtycke!
Lägg till en checkbox till ert kontaktformulär eller liknande på hemsidan, där personen kan antingen medge eller avstå från att ge samtycke till att ni lagrar hens personuppgifter. Rutan kan dock inte vara bockad för i förväg, då bryter ni mot förordningen. Ni kan dock göra det tvingande vid inlämning av t ex ett CV, om hen ansöker om en tjänst på ert bolag, att personen ger samtycke till lagring av personuppgifter. Det ska då tydligt framgå för hen vad samtycket innebär.
Gallra!
Det finns ingen anledning att spara på personuppgifter bara för att. Se till att ha en rutin på plats där ni löpande gallrar personuppgifter. Det är ok att spara statistik, så länge det inte kan kopplas till en enskild person.
Lagringsminimeringsprincipen i GDPR innebär att en personuppgift inte får lagras under en längre tid än vad som är nödvändigt för syftet med lagringen.
Ta fram en policy för cookies!
Använder ni ett CRM system, en hemsida eller en Google tjänst för att följa era kunder, besökare eller potentiella anställda på t ex er hemsida? Se till att ha en policy publicerad på dessa tjänster som beskriver dess användningsområde samt där ni även inhämtar samtycke från användaren att skicka kakor till deras webbläsare.
Visste du att det ofta följer med information som plats, enhet, kön, intressen och mycket mer vid användandet av ovan tjänster? Trots att datauppgifterna oftast är anonymt aggregerade innebär det likväl en insamling av personuppgifter.
Anställ eller anlita ett dataskyddsombud
Ombudets roll är att stötta verksamheten och säkerställa att den följer GDPR. Det sker genom att aktivt arbeta med dataskyddsfrågor, följa interna styrdokument, ge råd inom organisationen och vara kontaktperson för Integritetskyddsmyndigheten.
Alla företag behöver inte eller saknar kanske möjligheten att på egen hand skaffa ett dataskyddsombud. Definitionen är svårtolkad och det är heller inte självklart vilka branscher som omfattas. Rådfråga med jurist för att säkerställa om kravet på dataskyddsombud även gäller ditt företag.
Välj en lagringstjänst inom EU
Den 16 juli 2020 kom det en dom i EU-domstolen (domen heter Schrems 2) som i praktiken gör det otillåtet att överföra personuppgifter till USA med stöd av Privacy Shield.
Om ni har möjlighet är det därför bäst att välja IT- och montjänstleverantörer som enbart lagrar data på servrar inom EU. Det kan vara svårt att navigera i detta då Google, Microsoft och Amazon erbjuder detta i princip dominerande. Om du väljer en amerikansk eller utomeuropeisk leverantör är det bra att vara informerad och förberedd på att det juridiska läget är något oklart och snabbt kan förändras.
Hoppas du tyckte att de här tipsen var till nytta!
Här kan du läsa mer om GDPR på Riksdagens hemsida
Här kan du läsa om våra andra Insights
Välkommen att kontakta Anna Larsson för rådgivning kring ovan.
anna.larsson@djv.se / 070-109 86 89