GDPR – eller allmänna dataskyddsförordningen – är en förordning från EU med syfte att förbättra skyddet och hanteringen av personuppgifter inom EU. Nedan har vi sammanställt huvudpunkterna i vad detta innebär för dig som företagare.
Vid införandet 25 maj kommer GDPR att gälla för alla EUs medlemstater och ersätta tidigare, nationella förordningar. För Sverige innebär det att den ersätter personuppgiftslagen (PUL) som reglerar behandlingen av personuppgifter. Den nya förordningen träder i kraft i slutet av maj i år och kommer kräva en starkare reglering av hur företag samlar in, använder och lagrar data.
Utifrån ett individperspektiv kan GDPR brytas ned i två huvuddelar, ”Right to be forgotten” och ”Right to access”. För individen innebär detta att hen har rätt att få tillgång till all lagrad, personlig data och/eller få denna data totalt raderad. Det går även att kräva att tredje part som tagit del insamlad data upphör att använda dessa.
För företag som samlar in data kan GDPR innebära stora förändringar. Nedan har vi gjort en lista på de viktigaste sakerna att tänka på när du ska gdpr-säkra ditt företag.
Bra att veta om GDPR
- Säkerställ att du kan följa rättigheterna
GDPR kommer innebära förbättrade rättigheter för dina kunder. För ett mindre företag är “rätten att bli informerad”, “rätten till tillgång” och “rätten till radering” de viktigaste att hålla koll på. Procedurer för att radera eller förse individer med all personlig data måste vara på plats före den 25:e maj i år. - Kartlägg befintlig Data
Organisera och dokumentera den kunddata ditt företag samlar in och lagrar. Var kom datan ifrån? Hur samlades den in? Vad används den till? Vem delar du informationen med? Detta är exempel på frågeställningar du behöver kunna svara på. - Se över ditt företags sekretesspolicy
Efter GDPRs införande kommer företag behöva förklara hur de bearbetar data i sin sekretesspolicy. Denna ska även innehålla information om hur länge datan lagras och vilka rättigheter individen har att motsätta sig och kommentera denna hantering. - Säkerställ samtycke
Se över hur ni samlar in samtycke för datahantering av individer. När GDPR införs måste samtycke till lagring av personlig data vara ett aktivt, frivilligt val, det ska också tydligt framgå vad individen samtycker till och vilken data som sparas om hen. Samtycket ska registreras så att det kan bevisas senare av företaget. - Spåra dataintrång
Se till att det finns procedurer för att upptäcka, undersöka och rapportera potentiella dataintrång i dina databaser. - Informera hela företaget
Hela företaget, inte bara IT-teamet, bör ges generella kunskaper om GDPR och vilka förändringar införandet innebär. Företag som sysslar med mer omfattande datainsamling och datahantering om privatpersoner kommer att behöva utse en formell DPO, Data Protection Officer. DPO:n kommer att ha det yttersta ansvaret för att GDPR följs i dessa företag. Det skadar så klart inte att utse en informell DPO även för mindre företag som inte omfattas av detta krav. - Undvik dyra böter
Straffskalan vid överträdelse eller brott mot den nya lagen kommer även att förändras. Ett företag som bryter mot GDPR kan bötfällas med 4 procent av organisationens årliga omsättning eller upp till tjugo miljoner euro. Ovan nämnda straff är maxsatser och är avsedda för de grövsta formerna av övertramp men en ny, skärpt straffskala ska implementeras tillsammans med GDPR även för mindre överträdelser.