Bakgrund
Grundtanken med GDPR är att skydda EUs medborgare. Idag pågår en massiv datainsamling om människor. Det sker genom att du anger olika uppgifter till företag, på webbplatser, i webbshoppar eller på sociala medier. Det sker också genom appar som lagrar din geografiska position. All den här data som företag samlar på sig om dig kan användas för att kartlägga dina vanor, köpmönster, vänner m.m. Ett annat ord för det här är ”Big Data”. Data samlas på hög utan egentligt syfte där de sedan kan analyseras eller säljas.
Det tydligaste exemplet är när du gör köp från webbutiker. Varför måste en webbutik komma ihåg ett köp du gjorde för fem år sedan? Varför måste de veta ditt personnummer? Det finns även andra sammanhang som du kanske inte tänker på. Måste t.ex. ett taxibolag komma ihåg en körning du beställde förra veckan? Vad är anledningen till att en köp/sälj-sajt behöver lagra information om din soffa du sålde för ett år sedan? Måste bussbolaget veta din resa efter att du gjort den?
Mindre uppenbart är olika trackers som finns på internet. Är du inne på en webbsida kan du lämna spår som sedan andra kan dra nytta av. Har du t.ex. funderat på hur Facebook kan föreslå din kund som vän precis efter ni haft lunchmöte? Eller hur Aftonbladet gör reklam för trädgårdsspadar precis just som du varit inne på olika butiker för att köpa en?
Det finns alltså många företag som samlar otroliga mängder med information om dig som de sedan utnyttjar. Det finns även företag som omedvetet samlar data om dig som genom slarv kan komma på avigvägar. Det går rykten om en stor europeiskt bank som skulle inventera sitt kunddata. När de hittat över 3000 olika databaser med information om sina kunder gav de upp. Nya systemuppdateringar, nya system, gamla system som finns kvar skapar en röra av data som ingen har någon överblick över.
Det är främst dessa företag som GDPR vill komma åt. Syftet är dels att tvinga dessa företag vara transparenta men även att de ska ha ordning och reda på sitt data.
Regler
GDPR är gemensamt inom hela EU och för företag som verkar inom EU/ESS. Det spelar alltså ingen roll om det t.ex. är ett amerikanskt bolag. Samma regler gäller. Var data fysiskt finns lagrat är oväsentligt så länge som det finns inom EU, ESS eller annat av EU godkänt ”tredje land”.
Kortfattat gör GDPR att organisationer måste uppfylla dessa krav:
Varje behandling av personuppgifter måste ha en laglig grund.
Det måste finnas laglig grund för insamlandet av data. En laglig grund är samtycke från den registrerade. Insamling av uppgifter om barn är särskild känslig.
Rätten till tillgång.
Individen har rätt att få tillgång till sina personuppgifter och få veta hur dessa kommer att användas av företaget. På begäran ska företag, kostnadsfritt, ge en kopia av data till individen.
Rätten att bli bortglömd.
Om individen inte längre är kund eller vill återkalla sitt samtycket, har individen (under vissa förutsättningar) rätt få sin information raderad.
Rätten till dataportabilitet.
Individen har rätt att överföra sina data från en tjänsteleverantör till en annan.
Rätten att bli informerad.
Individen har rätt att bli informerad om alla typer av insamling av personuppgifter som företaget gör om individen.
Rätten att få information korrigerad.
Det här garanterar att individen kan få sina uppgifter uppdaterade om dessa är inaktuella eller felaktiga.
Rätten att begränsa behandling.
Individen kan under vissa förutsättningar begära att dess uppgifter inte behandlas. Uppgifterna finns kvar, men dess använding begränsas.
Rätten att invända.
Individen har rätt att avbryta behandling av personuppgifter i syfte att använda dem för marknadsföring. Det finns inga undantag i denna regel och all eventuell behandling i marknadsföringssyfte måste avbrytas.
Rätten att meddelas.
Om uppgifter kommit på avigvägar, t.ex. genom ett intrång, har individen rätt att få reda på det. Intrång ska anmälas till tillsynsmyndigheten inom 72 timmar.
Straff
Som vanligt med juridik finns det en del punkter som inte är juridiskt prövade och det finns naturligtvis möjlighet att tolka olika scenarion på olika sätt. Det som däremot är tydligt är att straff ska kunna utfärdas. Förordningen säger att ”administrativa avgifter på upp till 20 miljoner euro, om ett företag t. ex. inte lämnar ut information till registrerade, inte anmäler dataintrång eller inte skyddar personuppgifter med lämpliga säkerhetsåtgärder”.
Vad är då en ”personuppgift”? Datainspektionen listar de här exempel på vad som kan anses vara en personuppgift:
- ett namn
- en postadress
- en e-postadress
- platsinformation
- bankuppgifter
- ett foto
- en uppdatering i sociala medier
- medicinsk information
- en dators IP-adress
Åtgärden som ett företag ska göra
För att du som företag ska uppfylla GDPR behöver du ställa dig själv några frågor:
- När samlar vi in personuppgifter?
- Varför samlar vi in personuppgifter?
- Vilka delar av data behöver vi verkligen? Är det är personligt och känsligt data?
- Var lagras data? Alltså inte fysiskt var, utan snarare i vilka system, osv.
- Vet vi själva hur vi kan lista eller ta bort komplett data för en person?
Om du med gott samvete kan svara ”ja” på frågorna ovan ligger du bra till för att uppfylla GDPR. Vissa organisationer med särskilt känsligt data måste även ha en ansvarig person för insamling och behandling av data.
Om ditt företag samlar in data om personer är det bra att dokumentera vilket data som samlas in, vilka som har tillgång till det och hur länge data lagras.
T.ex. en beställning i en butik lagrar kundens varor, kunden namn, adress och telefonnummer och e-post. Den här informationen behövs för att kunna leverera varor. En viss del av informationen kanske behövs för bokföring och statistik, men kundens adress är förmodligen oväsentlig efter varans leverans.
Marknadsföring och nyhetsutskick är även det extra känsligt med GDPR. Alla kunder har rätt att avsäga sig marknadsföring. Tänk på det när du utformar dina nyhetsbrev. Ha alltid en ”sluta prenumerera”-knapp.
Cloudnets ansvar
Nu när du fått lite bakgrund om vad GDPR betyder och syftet så är det tydligt att lagen främst riktar sig mot företag som har personuppgifter. Det är alltid företaget som har huvudansvar även om en underleverantör anlitas. I det här fallet är Cloudnet en underleverantör.
Cloudnet följer alltid GDPR och åtar sig att:
- Lagra data på ett säkert sätt.
- Vara restriktiva med vilka som tillgång till data.
- Meddela misstanke om dataintrång.
- Lagra data och backup i godkända länder.
Avtal
Ett företag som hanterar personuppgifter kallas för personuppgiftsansvarig och dess underleverantörer kallas för personuppgiftsbiträde. Är du kund hos Cloudnet är du typiskt sett personuppgiftsansvarig och Cloudnet är personuppgiftsbiträde. Kontakta oss om du behöver ett personuppgiftsbiträdesavtal!
Källa:
https://www.datainspektionen.se/dataskyddsreformen/
https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/molntjanster/
https://www.datainspektionen.se/Documents/vagledning-forberedelser-pua.pdf
http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm