E-commerce

GDPR – Så funkar det

Den 25 maj 2018 träder den nya dataskyddslagen – GDPR – i kraft. GDPR (General Data Protection Regulation, på svenska kallad Allmänna dataskyddsförordningen) är EU:s nya dataskyddsförordning vars syfte är att  stärka integritetsskyddet vid hantering av EU-invånares personuppgifter. Dataskyddsförordningen ger individen mycket starkare rättigheter till sina personuppgifter än den nuvarande lagstiftningen PUL (Personuppgiftslagen). Det innebär att personer har rätt att bli informerade om vilka personuppgifter som behandlas om dem, få personuppgifter rättade eller borttagna samt få tydlig/koncis information om hur personuppgifterna behandlas i användarvillkoren.

Varje behandling av personuppgifter måste med andra ord ha ett tydligt och specifikt syfte. Det innebär att alla organisationer som på något sätt hanterar personuppgifter berörs av den nya lagen. Men vad innebär regelverket i praktiken? Och hur påverkar den just din verksamhet?  EU har tillsammans med flera olika myndigheter satt ihop listor och hjälpmedel för att se till att företag och organisationer klarar av att följa den nya lagen. I Sverige är det Datainspektionen som agerar tillsynsmyndighet med uppdraget att kontrollera att regelverket följs och bestraffa de aktörer som bryter mot lagen.

Fem konkreta tips

  1. Börja redan nu. Läs på om hur den nya lagen påverkar just din verksamhet och börja jobba internt med hanteringen. Inventera vilka system som används, vilken typ av information ni hanterar och för vilket syfte.
  2. Skapa ett samlat register över all data. Sannolikheten är hög att du har flera ställen där olika typer av personuppgifter sparas, t.ex i mail, databaser eller affärssystem. Se till att du själv har koll på vad som samlas var.
  3. Fokusera bara på den datainsamling som inte är godkänd. Exempel på godkänd data är data som samlats in för att kunna slutföra en transaktion, eller ett sign-up flöde för nyhetsbrev.
  4. Se över om den data du har innehåller känslig information. Känslig information innebär bland annat data som rör sjukdomar, minderåriga personer, etniskt ursprung och religionstillhörighet. Denna känsligare typ av data behöver hanteras med särskilt skydd för att förhindra att den hamnar i orätta händer eller används felaktigt.
  5. Se det som ett pågående arbete. Arbetet med dataskyddsförordningen fortsätter även efter förordningen träder i kraft. Mycket arbete handlar då om att skapa rutiner, policy samt uppföljning.