Som bekant får vi den 25 maj 2018 en ny lag, dataskyddsförordningen, EU:s nya förordning som reglerar personuppgifter och dataskydd, GDPR. Alla företag och organisationer behöver då förhålla sig till en skärpt reglering gällande behandling av uppgifter om enskilda individer, med en hel del krav och sanktionsavgifter.
Såhär gör vi och såhär hjälper vi våra kunder
Som webbyrå är det en del saker som våra kunder kontaktar oss om och där vi försöker ge vägledning, men som vi också skrev i vårt tidigare blogginlägg gällande den nya lagförordningen har vi inte den juridiska kompetensen. Dessa punkter gäller främst webb till exempel det som berör hosting, marknadsföring och e-handel. De flesta moderna webbplatser hanterar personuppgifter, men om webbplatsen inte gör det idag är det nya regelverket inte möjligt att tillämpa.
Några konkreta saker detta kan gälla:
- Personuppgiftsbiträdesavtal, behövs om tredje part står för drift av servers som inkluderar personuppgifter.
- SSL-certifikat rekommenderas om personuppgifter hanteras på sajten. *
- Rutiner för hantering av epost då det ingår i GDPR
- Nyhetsbrev enbart till de som aktivt godkänt att få dessa, eller med intresseavvägning som grund.
- Uppdatera er integritetspolicy som också ska beskriva hur cookies används.
- Översyn på formulär och hur dessa hanterar leads.
- För större webbsystem och e-handel behövs översyn av sajten till exempel med uppdaterade villkor, översyn registreringsformulär och liknande.
- Inventering av 3-parts plugin och tjänster som används på sajten som behandlar personuppgifter.
* Som ses här kommer Google vid nästa uppdatering av webbläsaren Chrome flagga alla sajter som inte har SSL som ”Not Secure” osäkra.
Mer än bara GDPR
Något som gör det lite extra komplicerat är att det också pågår ytterligare ett arbete inom EU som går under beteckningen ePrivacyförordningen, EPR. som bland annat syftar till att säkra integriteten i elektronisk kommunikation, exempelvis vad som gäller cookies. Haken är bara att EPR inte är klar att träda ikraft 25maj, se till exempel vad Computer Sweden skriver här och här.
Dataskyddsinspektionen beskriver EPR på följande sätt:
EU-kommissionen har dessutom lämnat förslag till en ny förordning om integritet och elektronisk kommunikation som ska gälla för tele- och internetoperatörer och som ska ersätta det nuvarande direktivet 2002/58/EG vilket har genomförts i Sverige genom bestämmelser i lagen om elektronisk kommunikation. Kommissionen har samtidigt lämnat förslag till en ny förordning som reglerar EU-institutionernas behandling av personuppgifter.
Men därtill finns inte så mycket information om detta. Datainspektionen hänvisar till en gammal pressrelease, från januari 2017 och har därefter inte kommit med mycket mer information gällande detta.
Vi hjälper gärna men har inte den juridiska kompetensen
Som vi skrev inledningsvis har vi inte själva den juridiska kompetensen, därför har vi en kvalitetssäkring i vårt arbete med GDPR genom externa juridiska konsulttjänster som vi också kan erbjuda våra kunds räkning.
Nu är det hög tid att ta tag i det i GDPR och säkra upp inför 25 maj och möjligtvis kan vi besvara och hjälpa till med en del av frågorna.
