Sedan den 25 maj 2018 har EU infört en enhetlig lagstiftning för att skydda personuppgifter i alla medlemsländer.
Sverige har dock legat några steg före andra EU-medlemmar eftersom vi har arbetat med skydd av personuppgifter sedan flera år tillbaka, så för vår del innebär GDPR en uppgradering av den tidigare personuppgiftslagen kallad PUL.
Men det är ändå en hel del man behöver tänka på när man hanterar andras personuppgifter och vi har sammanställt de frågor som inkommit till oss sedan dess:
GDPR – Vad är det för ***** skit?!!
Det hjälper inte att vara arg. Det är varje företagares ansvar att följa lagen och kunna redovisa detta arbetet för tillsyningsmyndigheten vid förfrågan. Inte heller är glömska, slarv, tidsbrist eller sjukdom godtagbara ursäkter för att slippa bli föremål för granskning. Sorry…
Måste alla företagare rätta sig efter den nya lagen?
Ja, alla företag som har med någon annan människa att göra dvs. har anställda, har minst en kund eller har fått minst ett mail från någon människa via en e-postadress som är knutet till företaget.
Vilka uppgifter klassas som personuppgifter enligt GDPR-lagen?
Den nya lagen räknar alla typer av information som kan användas för att identifiera en levande person som en personuppgift. Detta gäller också om flera olika typer i kombination kan identifiera en person. En självklar personuppgift är tex. ditt personnummer eftersom du är den enda som har det. Detsamma gäller din e-postadress då du är den enda som äger just din e-postadress samt IP-nummer, telefonnummer, din adress, kundnummer och bilder.
Jag röstade ju nej till EU, då gäller det väl inte mig?
Om ditt företag är registrerat i ett EU-land, så spelar det ingen roll hur man röstat.
Jag sprider inga personuppgifter, så därför behöver jag inte bry mig om detta?
Det handlar i första hand om hur man lagrar och hanterar andras personuppgifter. Om ditt företag dessutom lämnar den vidare till tredjepart behövs det redovisas också.
Varför måste jag ha en cookie-banner på min hemsida?
Cookie-bannern används för att den som besöker din hemsida ska kunna godkänna eller avböja att en cookie (en liten textfil) sparas på besökarens dator. Cookies används för att användarupplevelsen ska bli så bra som möjligt som att tidigare besökta sidor ska laddas snabbare. Informationen i cookien kan också användas för att följa surfbeteenden hos användaren, något som användaren måste ges möjlighet att godkänna.
Varför måste jag ha en policytext på min hemsida?
Oavsett om man har en hemsida eller inte behöver företaget berätta hur man hanterar och lagrar andras personuppgifter i enlighet med GDPR-lagen. Det enklaste sättet att berätta det är att ha policytexten publicerad på hemsidan för att snabbt kunna hänvisa till den. De som besöker din hemsida behöver också erbjudas möjlighet att godkänna företagets policy för att hantera besökarens personuppgifter.
Om man inte har en hemsida alls, behöver man redovisa företagets GDPR-arbete på annat sätt.
Vad har SSL-certifikat med mitt GDPR-arbete att göra?
Om du lägger till ett sådant certifikat till din domän höjer det säkerheten ytterligare. Det innebär att all information som skickas via hemsidan, och e-postadresser med domännamnet som avsändare, skickas krypterat. Din hemsida kommer också att klassas som säker av din webbläsare.
Det är ännu inget krav att lägga till SSL-certifikatet, men det är helt i linje med arbetet att säkerställa hanteringen av andras personuppgifter i ditt företag.
Jag har alla mina kunders uppgifter i huvudet och har kontoret på fickan. det är ingen obehörig som kommer åt dem!
Du behöver i alla fall upprätta en skriftlig redogörelse för hur du hanterar andras personuppgifter enligt GDPR-lagens riktlinjer. Det är ett arbete som alla företagare måste göra och det finns mycket att läsa på till exempel Datainspektionens hemsida om vad som gäller.
Vad kan ni hjälpa mig med?
Vi har inte juridisk kompetens, men eftersom vi jobbat en hel del med GDPR under senaste månaderna, så har vi fått hjälpa en hel del av våra kunder.