GDPR – ny datalag

Grind som är låst med hänglås och kedja

GDPR är nya datalagen (eller dataskyddslagen) som träder i kraft 25 maj 2018. Den kommer ersätta PuL och kommer påverka alla företag, därför är det dags att börja planera hur just ditt företag måste förändra sitt arbetssätt för att vara redo.

De allra flesta webbplatser sparar data om besökaren som besöker webbplatsen. Alla har sett knappen där man måste acceptera att webbplatsen sparar information om cookies som dyker upp allt oftare idag. Det var bara början, nu kommer alltså en lag som ger mer skydd åt besökaren. En stor skillnad är att denna lag har en tydligare straffskala än vad tidigare PuL hade. Nu kan det innebära en sanktionsavgift på 4% av bolagets totala omsättning om man inte följer lagen.

Rättigheter för besökaren i samband med GDPR

  • Besökaren måste ge sitt samtycke till att du samlar in uppgifter och du behöver även berätta mer tydligt vad du/företaget/webbplatsen skall använda uppgifterna till. Cookies kan sparas för att webbplatsen skall komma ihåg besökaren nästa gång de besöker webbplatsen men idag finns det många fler tekniker som används för att bygga tjänster mot en besökare. Tex. market automation, retargeting, mina sidor, maillistor osv.
  • Besökaren har rätt att med enkla medel kräva vilken information du sparar och varför. Svaret får inte vara svepande utan behöver vara konkret och exakt. Byter du system (säg att du byter från MailChimp till APSIS) måste du också informera besökaren om detta.
  • Mina uppgifter: Besökaren kommer i framtiden ha rätt att få ta del av informationen du sparar samt bestämma om du får har kvar dem eller inte.
  • Exempel på data som berörs är allt från ett namn, ett inlägg i sociala medier, adress, bankuppgift nyhetsbrev, information på mina sidor, IP-adress.

Rättslig grund för att du sparar information

  • Som ägare av webbplatsen kommer du i samband med GDPR tydligt beskriva vad du har för rättsliga grunder för att spara data om besökaren. Samtycke är en rättslig grund och kräver att man har ett avtal med den registrerade besökaren.

Vad ställer då detta för krav på ditt företag?

  • Ägaren av webbplatsen måste i samband med GDPR ha extremt bra kontroll över hur man hanterar data. Dagarna då man sparar data om besökare i olika system, excel, market automation, retargeting, mail och CMS utan att ha allt dokumenterat är slut.
  • Hur skall ni möta kraven på att besökaren skall kunna komma åt informationen ni sparar om den?
  • Man får akta sig för att tro att detta är ett IT projekt. Det är snarare ett nytt arbetssätt där många delar av företaget måste vara medveten om de nya lagarna och hur man som företag måste agera och arbeta för att inte bli straffad eller få sitt varumärke förknippat med bristande säkerhet.
  • Skyldighet att rapportera läckor: om du som ägare av webbplatsen misstänker att data blivit stulen eller ändrad av annan part måste du anmäla detta.
  • Du äger inte uppgiften om en person – du lånar den bara.

Vad bör ni göra redan nu?

  • Inventera vilka uppgifter ni sparar om era besökare.
  • Hur och exakt var lagrar ni information om era besökare? Vilka system är berörda?
  • Varför lagrar ni information om era besökare? Beskriv detta så väl som möjligt.
  • Hur har ni dokumenterat informationsprocesser och flöden?
  • Var förberedd på att utse en roll på företaget som heter ”dataskyddsombud”.