NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? JobMatchtalent i samarbete med webcrm, SEPTEMBER 2017
Innehåll Översikt 3 Vad är GDPR? 4 Varför är GDPR så viktig för alla företag? 7 Hur ska mitt företag förbereda sig för GDPR? 8 CRM och GDPR 10 Vanliga frågor 11 NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 2
Översikt En ny uppsättning förordningar om personuppgifter träder ikraft den 25 maj 2018. Lagen, som gäller överallt i hela den europeiska unionen, är officiellt känd som den allmänna dataskyddsförordningen (GDPR). Syftet med den nya lagstiftningen är att ge medborgarna i EU mer rätt att bestämma över sina personuppgifter. Det ska komma till stånd genom en rad lagjusteringar som fastställer nya och striktare krav på hur företag hanterar och behandlar personuppgifter. Om ditt företag inte rättar sig efter den nya GDPR-lagen, kan det få böta upp till 4 % av sin årsomsättning. Därför är det viktigt för dig att börja se över hur insamling och användning av personuppgifter för affärsändamål sker i din verksamhet. I sin egenskap av CRM-leverantör är webcrm av naturliga skäl starkt inriktad på att se till att vår lösning hjälper ditt företag att efterfölja GDPR. Därför utvecklar vi nu en process som ska göra den här övergången så klar och enkel som möjligt. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 3
Vad är GDPR? Den 25 maj 2018 träder den nya allmänna dataskyddsförordningen (GDPR) ikraft i hela EU. Den nya lagen ger medborgare i EU mer rätt att bestämma över sina egna personuppgifter och kräver att deras uppgifter hanteras på ett säkert sätt i hela Europa oavsett om databehandlingen äger rum i EU eller utanför unionen. GDPR är EU:s sätt att ge enskilda personer, kunder och leverantörer mer makt över sina egna uppgifter. Det betyder också färre databehandlingsalternativ för företag och organisationer som samlar in och använder data för affärsändamål. När GDPR träder ikraft 25/05/2018 kommer alla enskilda personer i EU att ha följande rättigheter ifråga om sina personuppgifter: KLART SYMTYCKE MÅSTE ALLTID LÄMNAS Företag får inte behandla en enskilds personuppgifter utan att den personen frivilligt lämnat specifikt, medvetet och otvetydigt samtycke till det, antingen i ett uttalande eller genom en entydig, bekräftande handling. RÄTTEN TILL ÅTKOMST Det ger en enskild person rätt att begära tillgång av sina egna personuppgifter och få veta hur deras uppgifter används av företaget efter att de samlats in. Företaget är skyldigt att tillhandahålla en kopia på alla personuppgifter det har om personen ifråga, om personen begär det. Uppgifterna måste tillhandahållas gratis och i elektronisk form. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 4
RÄTTEN ATT BLI BORTGLÖMD Om en enskild person inte längre är kund hos företaget, eller om den enskilde drar tillbaka sitt samtycke till att företaget använder deras personuppgifter, har de rätt att få sina uppgifter varaktigt raderade. RÄTTEN ATT FÅ DATA ÖVERFÖRDA Den enskilde har rätt att få sina uppgifter överförda från en tjänsteleverantör till en annan. Detta måste göras i ett maskinläsligt format som är i allmänt bruk. RÄTTEN ATT BLI UNDERRÄTTAD Denna rätt gäller alla former av datainsamling ett företag utför. Den enskilde ska alltid underrättas innan någon datainsamling sker. Den enskilde måste ge tillstånd (samtyckeskrav) till att deras uppgifter samlas in. Samtycket måste vara frivilligt och uttryckligt det får inte vara i form av ett tyst (underförstått) samtycke. RÅTTEN ATT FÅ UPPGIFTER RÄTTADE Det ser till att den enskilde kan få sina uppgifter uppdaterade om de inte längre är aktuella eller om de brister på annat sätt. RÄTTEN ATT INSKRÄNKA ANVÄNDNINGEN Den enskilde kan begära att deras uppgifter inte används i praktiken. Deras uppgifter får lagras, men får inte användas av företaget. RÄTTEN ATT FÅ INFORMATION I händelse av att en brist i datasäkerheten skulle kunna äventyra den enskildes personuppgifter har personen rätt till att bli informerad inom 72 timmar från det att företaget upptäckte bristen. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 5
RÄTTEN ATT GÖRA INVÄNDNINGAR MED OMEDELBAR VERKAN Det finns inga undantag till denna regel. All databehandling måste upphöra så snart en begäran tagits emot. Hit hör rätten att stoppa behandlingen av data för marknadsföringsändamål. Denna rätt måste klart meddelas den enskilde så snart en dialog påbörjas. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 6
Varför är GDPR så viktig för alla företag? Det grundläggande syftet med GDPR är att skapa mer förtroende och transparens mellan företag och EU-medborgare. Medborgarna ska ha förtroende för att det företag som har uppgifter om dem använder dem på ett sätt som de har samtyckt till. Som redan har nämnts kan företag och organisationer som inte rättar sig efter GDPR komma att påföras avsevärda straffavgifter. De kan få böta upp till 4 % av sin globala årsomsättning eller 20 miljoner EUR, beroende på vilket värde som är högst. Utöver att skydda personuppgifter måste alla företag och organisationer som hanterar personuppgifter också utse ett dataskyddsombud för att se till att företaget lever upp till GDPR. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 7
Hur ska mitt företag förbereda sig för GDPR? GDPR gäller oavsett om ditt företags kunder är konsumenter eller andra företag. Lagen är baserad på den enskilde medborgarens rättigheter oavsett i vilket sammanhang personuppgifterna registrerats. Därför är det lika viktigt för alla sorters företag att leva upp till GDPR. Därför är det viktigt för ditt företag att fastställa klara riktlinjer, rutiner och regler för hantering av personuppgifter. Vi råder ditt företag att gå igenom följande fem övningar: 1. SÄTT SÄKERHETEN FRÄMST Se till att utveckla och införa säkerhetsåtgärder i hela din infrastruktur som skydd mot brister i datasäkerheten. Det är viktigt att upprätta ett säkerhetssystem som kan skydda mot dataintrång och att handla snabbt och informera alla berörda personer och myndigheter om en brist i datasäkerheten skulle inträffa. Ha också koll på dina leverantörer. Du kommer inte ifrån ansvar genom att lägga ut tjänster. Du måste se till att de också vidtagit riktiga säkerhetsåtgärder. 2. DOKUMENTERA PERSONUPPGIFTERNA Kom igång så fort som möjligt med att kartlägga alla personuppgifter ditt företag använder: Varifrån kommer de? Utred var och hur du lagrar dessa uppgifter, och se till att du dokumenterar hur du använder uppgifterna. Du måste fastställa precis var alla personuppgifter lagras, vem som har åtkomst, och om det föreligger någon risk för missbruk eller obehörig åtkomst till personuppgifterna. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 8
3. PRIORITERA VAD SOM MÅSTE LAGRAS Lagra inte mer uppgifter än nödvändigt, och radera alla uppgifter som inte används. Om ditt företag samlar in stora mängder av uppgifter utan något särskilt ändamål eller behov kan det inte fortsätta efter att GDPR trätt ikraft. GDPR manar till en mer målinriktad behandling av personuppgifter. Under upprensningsarbetet bör du ta ställning till: Varför lagrar vi de här uppgifterna? Vad är det vi försöker uppnå med att samla in de här typerna av personuppgifter? 4. SE ÖVER DIN DOKUMENTATION När GDPR träder ikraft, måste alla fysiska personer aktivt samtycka till både insamlandet och behandlingen av deras uppgifter. Därför måste du se över alla dina uttalanden om dataskydd och vid behov anpassa dem. 5. SE TILL ATT UPPRÄTTA RUTINER FÖR HANTERING AV PERSONUPPGIFTER Som tidigare beskrivits, kommer alla fysiska personer att ha nio grundläggande rättigheter när GDPR träder ikraft. Du bör upprätta rutiner och riktlinjer för hur du tänker handskas med var och en av de här situationerna: Hur kan fysiska personer ge samtycke i lagens mening? Vari består rutinen om en person vill ha sina uppgifter raderade? Hur ser du till att det händer på alla plattformar och att uppgifterna raderas varaktigt? Hur kommer du att hantera situationer där en person önskar överföra sina uppgifter? Hur tänker du verifiera att den person som ber att få sina uppgifter överförda är den de utger sig för att vara? Vad är planen för att gå ut med underrättelser i händelse av ett dataintrång? NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 9
Vanliga frågor När träder GDPR ikraft? GDPR antogs och undertecknades av Europaparlamentet i april 2016. Förordningen kommer att träda ikraft efter en övergångsperiod på två år. Till skillnad från ett direktiv behöver GDPR inte godkännas av medlemsländernas egna lagstiftande församlingar. Det medför att GDPR träder ikraft i maj 2018 i hela EU. Vem påverkas av GDPR? GDPR gäller inte bara organisationer som bedriver verksamhet inom EU. Organisationer utanför EU måste också rätta sig efter GDPR om de erbjuder varor och tjänster till medborgare i EU. Det gäller alla företag som behandlar och lagrar personuppgifter om medborgare bosatta i EU, oavsett var företaget är beläget. Vilka är påföljderna för överträdelse? Företag kan få böta upp till 4 % av sin globala årsomsättning, eller 20 miljoner euro, för överträdelser av GDPR beroende på vilket belopp som är störst. Det är de högsta böterna som kan påföras för de mest allvarliga överträdelserna, som när ett företag inte har tillräckligt samtycke av kunden för att behandla data. Det finns en skiktat tillvägagångssätt till böter här: exempelvis kan ett företag få böta 2 % av sin årsomsättning för att inte ha ordning på uppgifterna (artikel 28), utan att informera tillsynsmyndigheten och de registrerade personerna om dessa underlåtelser. Det är viktigt att observera att dessa regler gäller för både registeransvariga och behandlare av data. Det betyder att molnföretag inte är undantagna från efterlevnad av GDPR. Hur definieras personuppgifter? Varje uppgift om en fysisk person eller registrerad som går att använda direkt eller indirekt för att identifiera personen. Det kan vara allt från ett namn, ett foto, en e-postadress eller bankuppgifter till inlägg på sociala medier, medicinska uppgifter eller en dators IP-adress. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 10
Vad är skillnaden mellan en datahanterare och en registeransvarig? En registeransvarig är den agent som bestämmer syftena, villkoren och sätten att behandla personuppgifter, medan hanteraren är den agent som hanterar personuppgifter för den registeransvariges räkning. Behöver datahanterare uttryckligt eller otvetydigt registrerat samtycke? Kraven på samtycke har skärpts. I fortsättningen kommer företagen inte längre att kunna utnyttja långa och oläsliga villkor som är fulla av juridiska föreskrifter. I fortsättningen måste begäran om samtycke framställas på ett begripligt och lättillgängligt sätt. Samtycke måste vara klart och gå att urskilja från andra förhållanden, och ska tillhandahållas i en begriplig och lättillgänglig form med användning av enkla och klara ord. Det måste också vara lika enkelt att återkalla samtycket som att lämna det. Vad är skillnaden mellan en förordning och ett direktiv? En förordning är en bindande rättsakt. En förordning gäller i sin helhet överallt i EU, medan ett direktiv är en lag som sätter upp ett mål som alla EU-länder ska uppnå. De enskilda länderna får dock bestämma hur det ska gå till. Det är viktigt att observera att GDPR är en förordning, till skillnad från den tidigare lagen, som är ett direktiv. Måste mitt företag utse ett dataskyddsombud (DPO)? DPO måste utses för: 1) offentliga myndigheter, 2) organisationer som sysslar med systematisk övervakning, och 3) organisationer som sysslar med behandling av känsliga personuppgifter i stor skala (artikel 37). Om ditt företag inte tillhör någon av dessa kategorier, behöver du inte utse DPO. NYA FÖRORDNINGAR OM PERSONUPPGIFTER (GDPR) VAD BETYDER DET FÖR DITT FÖRETAG? 11