Case från Ojco – din IT-konsult

GDPR

GDPR – den 25 maj slår en ny lag igenom.

Period: May 2019
Client: Gäller alla i hela europa
Subject: GDPR – så påverkas din verksamhet

General Data Protection Regulation (GDPR) kommer att ersätta Person- och Uppgiftslagen (PUL) och fungera som nationell dataskyddsreglering inom EU:s 28 medlemsländer. Förordningen är direkt tillämplig i medlemsstaterna och blir bindande från och med den 25 maj 2018.
Målet med GDPR är att skapa ett enhetligt och likvärdigt skydd av personuppgifter i EU. Det ska därmed förstärka skyddet för personuppgifter, samt samtidigt underlätta deras fria flöde.
I och med GDPR sätts själva syftet med att samla in personuppgifter under lupp. Alla företag som samlar in personuppgifter måste ta ställning till varför de gör det och vilka personuppgifter det finns anledning att samla in.
För dessa företag innebär detta samtidigt en fördel då de inte i samma utsträckning som tidigare kommer behöva anpassa sin verksamhet efter olikheter i nationella personuppgiftsregleringar. GDPR innefattar även lagstiftning utanför EU för att underlätta utbytet av personuppgifter.

GDPR och dess påverkan på försäljning och marknadsföring

Hur påverkar GDPR sättet att hantera personuppgifter?
1.Personuppgifter måste hanteras på ett lagligt, transparent och korrekt sätt.
2.Varje personuppgiftsbehandling måste rymmas inom ramarna för vad som är relevant och adekvat för ändamålet för vilka personuppgifterna behandlas.
3.Personuppgifter måste hållas uppdaterade och korrekta.
4.Lämpliga tekniska och organisatoriska säkerhetsåtgärder måste vidtas för att säkerställa skyddet för personuppgifter.
5.Det är endast tillåtet att använda personuppgifter inom ramen för den lagliga grund som
personuppgifterna insamlats.
6.På begäran måste personer kunna få sina personuppgifter raderade och personuppgifter måstesjälvmant raderas när de inte längre är nödvändiga för det ändamål för vilket de samlats in.
7.En klagomålshanteringsfunktion måste tillhandahållas som är enkel att förstå och som går att utnyttja gratis.
8.För att få lagra information om barn (det vill säga yngre än 16 år) krävs uttryckligt samtycke från vårdnadshavare.
9.Samtycke till personuppgiftsbehandling måste lämnas genom en opt-in funktion. Det räcker inte med opt out-funktioner.
Punkt 9 är intressant ur ett marketing automation-perspektiv. För att kunna bedriva marknadsföring behövs mottagarens uttryckliga samtycke. Det räcker inte med att mottagare kan välja att ”opta ut” från e-postflödet.

Vad händer om du inte följer direktiven?

En av de större förändringarna som GDPR innebär jämfört med nuvarande PUL är de strängare sanktionerna som kommer åläggas personuppgiftsansvariga vid överträdelser av regelverket.

  • Vid överträdelse av GDPR kan personuppgiftsansvariga åläggas administrativa sanktionsavgifter på mellan 20 miljoner euro och upp till 4 procent av företagets globala omsättning.
  • Man kan därutöver åläggas skadestånd för den materiella och ideella skada som åsamkas personen vars personuppgifter felaktigt behandlats.
  • Enskilda individers rättigheter stärks
  • Inbyggd integritet (Privacy by design)
  • Högre krav för samtycke
  • Kännbara sanktioner vid överträdelse
  • Skärpta krav vid personuppgiftesincidenter
  • Konsekvensbedömning/riskanalys (PIA)
  • Hårdare krav vid gränsöverskridande behandling
  • Ökade krav på tydliga roller och ansvar

Att tänka på vid försäljning och marknadsföring

För att behandla personuppgifter måste företaget ha laglig grund till det. Laglig grund till behandling kan exempelvis vara:

  • Den registrerade har lämnat samtycke till viss personuppgiftsbehandling.
  • Att behandlingen är nödvändig för att fullgöra avtal.
  • Behandlingen är nödvändig för ett berättigat intresse och detta intresse väger tyngre än den registrerades intresse av att personuppgifterna inte behandlas.

Hur kan Ojco hjälpa till?

Man behöver ta hjälp, utbilda sig eller anlita information- säkerhetsexperter, jurister.
Det finns ingen lösning som passar alla, men ett slag code of conduct är bra att ha.
Men än kvarstår en del frågetecken som kan vara svåra för småföretag att förhålla sig till. Hur ska man veta att man gör rätt? Ojco erbjuder juristhjälp och IT-säkerhetsutbildning. Kontakta oss!