Snart ett år efter att GDPR infördes gör vi här en kort genomgång på några saker som är viktiga nu i detta läge. Från hösten 2017 har vi löpande publicerat innehåll som berör vår verksamhet och särskilt i förhållande till våra kunder. Likt övrigt material ska artikeln inte betraktas som juridisk rådgivning utan är endast avsedd för informationsändamål.
Den 25 maj 2018 fick vi ju en ny lag med utgångspunkt från EU:s nya förordning om personuppgifter och dataskydd, GDPR. Alla företag och organisationer har då att förhålla sig till en skärpt reglering avseende behandling av uppgifter om enskilda individer, med en hel del krav och sanktionsavgifter.
Vi tar upp några frågor som kan vara relevanta så här ett år efter införandet. Kanske någon av dessa frågor motsvarar ditt förhållande till GDPR…
1. GDPR vad var det nu igen?
Som det verkar är du nog ganska ensam om du ställer denna fråga. En nyligen gjord undersökning visar att över 90% av alla företagare säger sig vara väl eller ganska insatta i GDPR.
GDPR står för General data protection regulation, på svenska Allmänna dataskyddsförordningen. Mycket förenklat innebär förordningen:
– Samtycke krävs för att samla in och behandla personuppgifter.
– Syftet med insamlandet och behandlingen ska tydligt framgå.
– Berörda personer ska kunna få tillgång till, och möjlighet att justera, sina uppgifter.
– Berörda personer ska kunna få sina uppgifter borttagna.
– Om dataintrång sker ska detta anmälas till den nationella tillsynsmyndigheten inom 72 timmar.
Företag ska kunna visa att förordningen följs – det ställs högre krav på eget ansvar och förebyggande insatser. Rutiner, dokumentation och policyer ska finnas på plats och kunna redovisas. Tex hantering vid dataläcka eller liknande.
2. Vi kom aldrig igång med GDPR förra året visst har frågan blåst förbi?
Räkna inte med det, snarare tar nu Datainspektionen nästa steg i granskningen av företagens efterlevnad av lagen. Men självklart, mindre verksamheter som inte hanterar känsliga personuppgifter är ju inte det primära målet för sådan granskning. Samtidigt är det uppenbart att alla verksamheter för register tex över kunder och anställda och därmed gäller förordningen också dig!
På Argonova vi har gett viss vägledning till våra kunder så ta gärna en kontakt om du ännu inte hunnit komma igång med ditt GDPR-arbete. Sägas ska samtidigt att vi inte har den juridiska kompetensen, det innebär att vi bara kan ge vägledning och enklare hjälp. Vi har också tillgång till externa juridiska konsulttjänster som vi kan tillhandahålla för er räkning.
3. Vi kom igång och sjösatte några insatser i maj 2018 men sen blev det inte mycket mer, vad borde vi göra nu?
Bra jobbat…!!! Detta är nog vanligaste scenariot, man startade upp men sedan kom man inte så mycket längre. Här nog bara enklast att fortsätta där det tog stopp!
Även om de flesta företag inte behöver något dataskyddsombud så är det ändå en bra idé att kika på tjänstebeskrivningen på datainspektionens webbplats och utifrån den utse någon som har ansvaret för dessa frågor som kan lite mer, får resurser att få jobbet gjort och som kan leda arbetet internt.
Här kan vi gärna hjälpa med en enkel inventering av status just nu och vad som kan bli nästa steg i er verksamhet. Man behöver få arbetet systematiskt där man åtminstone årligen gör en revision och ser över register, rutiner och processer. Man bör dokumentera det man gör, tex som en enkel checklista att man genomför det man åtagit sig.
4. Vad har hänt efter 25/5 2018, behöver man oroa sig? Vad gör Datainspektionen?
Här får man bäst information direkt på datainspektionens hemsida, men här är några saker vi upplever som relevanta.
Datainspektionen har en prioritetsordning på företagstyper man granskar. Har ligger Google högt och därefter följer tex företag verksamma inom sjukvård då de oftast hanterar känslig information.
En utredning pågår för att klargöra gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde. Detta är ett viktigt område om du har andra som hjälper dig hantera personuppgifter, t.ex. en IT-konsult, revisor eller bokföringsbyrå.
En granskning syftar till att klargöra vad som kan utgöra rättslig grund för insamling och behandling av personuppgifter.Här är målet att ge vägledning så man får smidiga men ändå trygga lösningar som fungerar i praktiken. Detta område kommer t.ex. påverka praxis för marknadsföring.
Datainspektionen har också publicerat en förteckning över när konsekvensutredningar behövs och närliggande när ett dataskyddsombud behövs. Här berörs tex vår egen verksamhet eftersom vi hjälper våra kunder med kvalificerad webbmarknadsföring, vi har likt flera andra webbyråer därför utsett ett dataskyddsombud.
För e-handel är det viktigt att följa utvecklingen inom e-Privacy direktivet och betaltjänstdirektiv (PSD2),även om det kanske främst hanteras av betaltjänsteleverantörerna är det extra viktigt för dig som har försäljning i flera länder.
Så vad ska du göra nu?
Har du gjort hemläxan och är väl igång, Bra jobbat…!!!
Har du inte kommit ur startblocken är det hög tid att göra det redan idag! Ta en kontakt så kan vi ge dig lite input på bra steg framåt. Vi hjälper med Policy och rutiner i synnerhet med fokus på verksamheter där webben är en viktig del.
