GDPR är ett hett ämne som väcker starka känslor hos många marknadsförare. Även om det finns oändligt stora mängder information tillgänglig om den nya dataskyddsförodningen, kan det vara svårt att komma åt rätt information när man behöver den. Vi vill hjälpa folk med vår egen artikelserie som är riktad speciellt mot professionella inom digital marknadsföring och kommunikation. Du kan läsa det första inlägget om vår egen resa mot GDPR-vänlighet här.

Detta andra inlägg i vår GDPR-serie ger dig grundläggande information och belyser några viktiga begrepp. Dessutom ger vi dig en omfattande GDPR-checklista som hjälper dig att bättre förbereda dig inför dataskyddsförordningen.

Vad handlar GDPR om?

GDPR (General Data Protection Regulation) syftar till den nya dataskyddsförordningen som kommer att träda i kraft i alla EU-medlemsstater i maj 2018. Det övergripande målet med förordningen är att harmonisera nationella dataskyddslagar och praxis inom EU samt öka datasäkerheten för EU-medborgare.

Alla organisationer oavsett storlek och bransch ska beakta den nya förordningen när de samlar in, lagrar, och behandlar personlig data om EU-medborgare. En stor del av europeiska organisationer kommer att påverkas av ändringar i nationell lagstiftning eftersom de uprätthåller ett dataregister av någon sort, t.ex. ett medlemsregister eller ett kundregister.

GDPR ska tas på allvar eftersom företag som inte följer reglerna i förordningen ska betala en sanktionsavgift på upp till 20 miljoner euro eller fyra procent av företagets globala årsomsättning från förra året, beroende på vilket av dessa alternativ har en större finansiell påverkan.

Grundläggande terminologi

Vi får börja med några viktiga termer.

Personuppgift: All data som kan användas för att identifiera en fysisk person. Exempel på personuppgifter är namn, adress, personnummer, e-postadress och data för identifiering av användarens nätverksanslutning.

Personuppgiftsregister: En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier.

Personuppgiftsansvarig: En fysisk person eller en organisation (t.ex. aktiebolag, förening eller myndighet), för vilken dataregistret har skapats för och som bestämmer för hur personuppgifterna i registret ska användas.

Personuppgiftsbiträde: En fysisk person, offentlig myndighet eller annat organ som behandlar personuppgiftsregistret för en personuppgiftsansvarigs räkning enligt hans eller hennes instruktion. Till exempel leverantör av verktyg för e-postmarknadsföring.

Den registrerade: En person i registret som kan identifieras.

Opt-in: Den registrerades givna samtycke till insamling och behandling av personuppgifter.

GDPR inför nya rättigheter, skyldigheter och ansvar

Efter att dataskyddsförordningen träder i kraft utökas den registrerades rättigheter samtidigt som den personuppgiftsansvariges ansvar och skyldigheter blir större. Den nya lagstiftningen kommer att möjliggöra för de registrerade att enkelt och kostnadsfritt efterfråga sina personuppgifter från organisationer. Dessutom kan den registrerade be om radering eller överflyttning av sina personuppgifter samt motsätta sig behandling av personuppgifter.

De personuppgiftsansvariga ska säkerställa att de faktiskt kan på begäran förse den registrerade med de efterfrågade uppgifterna och radera dem ur registret.  Dessutom ska den personuppgiftsansvarige kunna visa att de har laglig grund för insamling och behandling av personuppgifter. Vid behandling av personuppgifter ska den personuppgiftsansvarige efterleva kraven som ställs av artikel nr 5 av GDPR.

Några nyckelfaktorer i förordningen är kravet för inbyggt dataskydd och för dataskydd som standard (eng. privacy by design and default). Vad dessa principer betyder i praktiken är att det är varje organisations skyldighet att beakta datasäkerhetsfrågor när de designar och utvecklar sina IT-system samt arbetssätt för personuppgiftsbehandling (privacy by design). Dessutom ska man kunna bevisa att de uppgifter som man samlar in och behandlar är både riktiga och ändamålsenliga med hänsyn till syftet med behandlingen (dvs. privacy by default).

Det väsentliga med den kommande dataskyddsförordningen är att insamling och behandling av personuppgifter blir säkrare och att processen bakom allt detta blir mer synlig än någonsin. Företag som upprätthåller någon sorts personuppgiftsregister ska säkerställa och kunna bevisa att de faktiskt efterföljer kraven för integritetskydd och behandlar uppgifterna i registret på ett lämpligt sätt.

GDPR [checklista] – Så här förbereder du dig inför den nya förordningen:

1. Lär känna din roll – är du personuppgiftsansvarig eller personuppgiftsbiträde?

Se till att du vet vad din organisations roll i behandling av personuppgifter är: är ni personuppgiftsansvarig, personuppgiftsbiträde eller är ni båda? Era skyldigheter och ansvar beror på var i kedjan ni befinner er.

2. Se till att dina processer för personuppgiftsbehandling är lagliga

• Kartlägg vilken data ni samlar in, hur ni behandlar dessa uppgifter och i vilka system dessa uppgifter befinner sig. Glöm inte de aktörer som behandlar personuppgifter för din räkning (jfr. outsourcing).
• Se till att din personuppgiftshantering efterlever kraven för GDPR, och ändra dina rutiner vid behov. Kontrollera också om det är enkelt för dig och dina medarbetare att genomföra dessa rutiner i alla dina system (t.ex. ert verktyg för e-postmarknadsföring).
• Kontrollera att de som finns med i ditt register har samtyckt till insamling av personuppgifter eller att du har någon annan laglig grund för personuppgiftsbehandling.
• Om det inte finns någon sorts laglig grund för hantering av en del av personuppgifterna i registret, tänk om du kan börja begära samtycke med hjälp av opt-in. Förbered dig att anta nya regler och rutiner samt överge mottagarlistor som är olagliga enligt den kommande lagstiftningen. Märk dock till att den svenska lagstiftningen kring dataskydd är ännu inte färdig.

3. Beakta den registrerades rätter

• Var förberedd att förse den registrerade med information om innehåll och behandling av hans eller hennes personuppgifter i elektronisk form. Denna information ska ges kort och koncist för att den ska vara enkelt att förstå.
• Se till att den registrerade kan få sina uppgifter överflyttade eller raderade från era system.
• Om ditt register lagras på en server utanför EU, ska du säkerställa att den registrerade har gett sitt samtycke till överflyttning av sina personuppgifter till länder utanför EU.

Twitter ber sina användare att godkänna deras nya integritetspolicy. Det framgår av policyn att användarens personuppgifter lagras även utanför EU.

4. Ta hand om datasäkerheten

• Se till att alla personuppgifter skyddas på ett lämpligt sätt och kartlägg olika dataskyddsrisker dina system kan vara sårbara för.  Dokumentera era säkerhetsrutiner i ett dokument där ni ger svar till åtminstone dessa följande frågor: hur och med vilken laglig grund behandlas personuppgifterna, hur säkerställer ni datasäkerheten, vad ska ni göra vid en personuppgiftsincident och vem behandlar personuppgifter inom din organisation?
• Ta reda på hur dina programvaruleverantörer förbereder sig inför dataskyddsförändringar. Du kan be om denna information i skriftlig form och spara dokumentet för framtida referens. 

5. Uppdatera din integritetspolicy och användarvillkor

• Se till att du har en uppdaterad integritetspolicy för alla dina register och att policyn är lätttilgänglig.
• Ta upp säkerhetsfrågor i dina användarvillkor. Uppdatera dina avtal med kunder, underleverantörer och teknologileverantörer vid behov. Märk till att personuppgiftsbiträdet inte kan behandla personuppgifter utan en skriftlig överenskommelse (eller andra bindande dokument) med den personuppgiftsansvarige. Detta dokument ska innehålla all information som står i artikel 28.
• Beakta att innehållet i alla avtal stämmer med den lokala lagstiftningen. Genom att ingå datasäkerhetsavtal med andra aktörer som är inblandade i personuppgiftsbehandlingen garanterar man att alla parterna bär sitt ansvar.

6. Utse ett dataskyddsombud

Alla offentliga organ och organisationer inom den offentliga sektorn är skyldiga att utse ett dataskyddsombud. Dessutom behövs det ett dataskyddsombud när en organisation i sin kärnverksamhet behandlar så kallade känsliga uppgifter eller stora personuppgiftsregister. För att lära dig mer om utnämning av dataskyddsombudet kan du läsa i artikel 37 av GDPR.

7. Utbilda din personal

Det är viktigt att utbilda de medarbetare som kommer i kontakt med personuppgifter för att säkerställa att de har kunskap om de nya reglerna och rutinerna som gäller efter maj 2018.

Läs mer om GDPR:

Hur ska marknadsförare förbereda sig inför GDPR? Så här gör vi.

Om du vill så kan du bjuda in oss för att diskutera den kommande dataskyddsförordningen och dess påverkan på din e-postmarknadsföring samt marketing automation. 


Artikeln ska inte tolkas som juridisk rådgivning.