Under maj 2018 började EU:s nya gemensamma dataskyddslagstiftning, GDPR (General Data Protection Regulation), att gälla. Syftet är att stärka medborgarnas rättigheter och kontroll över sina personuppgifter. Samtidigt läggs ett ökat ansvar på de som behandlar och hanterar uppgifterna och företag som brister i sitt uppdrag riskerar höga böter.
Samtliga företag bör se över exakt vad som gäller för dem. Vilka personuppgifter de behandlar, varför och hur. Här har vi samlat några praktiska råd för att ni ska komma vidare i ert arbete.
Observera att nedanstående är våra åsikter och tolkningar av GDPR. För att vara på den säkra sidan bör man kontrollera med Datainspektionen eller en advokatbyrå specialiserad på den här typen av frågor. Läs mer om detta på datainspektionens sidor
Om du driver ett litet företag kan det vara klokt att kolla in den nya sajten Gdpr-guiden. Datainspektionen och Tillväxtverket har gått ihop för att förklara lagen för alla småföretagare. Se guiden här
Om du inte sparar personuppgifter påverkas du kanske inte alls, men det gäller att kontrollerat detta noga. Många webbplatser använder sig till exempel av insticksmoduler för att länka in mot Facebook, LinkedIn eller andra sociala medier och dessa kan i vissa fall klassas som persondata.
Om du vet om att din webbplats lagrar persondata bör du dels skapa interna processer och rutiner som krävs av GDPR, men du bör också se till att din webbplats lever upp till GDPR:s krav.
Allt som kan identifiera en fysisk person räknas som personuppgift. Tydliga exempel på dessa är:
Andra exempel som kan klassas som persondata är kombinerad data som kan identifiera en fysisk person. Detta är svårare att ringa in.
Du som ägare av webbplatsen och som "bestämmer ändamål och medel" med behandlingen av data personuppgiftsansvarig har ansvaret för personuppgifterna. Eftersom vi, när vi arbetar med era system, kan ha tillgång till persondata räknas vi som "biträde" och ett personuppgiftsbiträdesavtal ska upprättas mellan oss.
Enligt GDPR behövs det bara i de fall där det på något sätt kan inhämtas personuppgifter via cookien och i så fall krävs ett samtycke innan det görs. Detta samtycke ska dock vara ett aktivt samtycke, dvs det räcker inte med att säga att om användaren använder webbplatsen så har denna godkänt lagring av cookies.
Cookies som endast används internt av systemet, exempelvis för att komma ihåg inställningar, och inte innehåller någon persondata behöver inget godkännande från besökaren. I de fall som cookies med personuppgifter lagras så måste det även finnas funktion eller tydlig beskrivning hur användaren kan återkalla sitt godkännande.
GDPR lägger stor vikt vid att användaren ska godkänna lagringen av persondata. Samtycket ska vara tydligt och i samband med samtycket ska det finnas information om varför man lagrar uppgifterna, vilken typ av uppgifter man lagrar och hur länge.
Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.
På detta område stramas reglerna åt ordentligt i och med GDPR. I stort sett säger regelverket att man inte får skicka e-postutskick till personer som inte redan samtyckt till detta.
Detta innebär exempelvis att:
Ett grundläggande krav i GDPR är att användaren har rätt att bli glömd. Detta innebär att en individ kan begära att personuppgifter raderas eller tas bort där det inte finns någon tvingande orsak till dess fortsatta behandling. Orsaker att behålla persondata kan självklart vara av redovisningsmässiga krav, men det räcker inte med att man vill behålla det för t ex marknads- eller statistikunderlag.
Att glömma en kund innebär att data som lagras som innehåller kundens personuppgifter antingen måste raderas eller anonymiseras. Detta kan beroende på systemlösning man har ske antingen manuellt eller via funktionalitet i systemet
Enligt GDPR får man inte spara personuppgifter längre än nödvändigt. När syftet är uppnått ska uppgifterna tas bort.
Att radera (eller anonymisera) denna information bör vara antingen en återkommande manuell hantering eller, vilket nog är mest kostnadseffektivt i de flesta fall, vara automatiska funktioner inbyggda i er systemlösning.
Vad gäller GDPR och https så tolkar olika aktörer direktivet olika, men vår tolkning är att om personuppgifter registreras via webbgränssnitt så måste detta krypteras med https för att uppnå GDPR-kraven.
Förutom syftet med att uppnå GDPR-krav så rekommenderar vi starkt att använda SSL (https) för att:
Google har flaggat upp att de vill att samtliga webbplatser ska ha SSL-certifikat (https) senast till sommaren 2018. De webbplatser som inte använder https kommer att generera varningar i webbläsaren.
Google har på senare år modifierat sina system för att vara GDPR-kompatibel. Detta innebär att Google Analytics inte per design sparar några personuppgifter, med ett undantag. Idag sparas även IP-nummer som räknas in som personuppgift. Det är dock enkelt att justera så att Google Analytics inte längre sparar hela IP-numret, med följd av full GDPR-kompatibilitet men tyvärr med mindre precision i geografisk analys i Google Analytics gränssnitt.
Det är dock viktigt att du som webbplatsägare ser till att de länkar som analyseras av Google Analytics inte innehåller personuppgifter (exempelvis en URL innehållande e-postadress som parameter).
Individer har rätt att begära och få tillgång till de data och personuppgifter som finns lagrade om dem. Detta kan beroende på den systemlösning man har ske antingen manuellt eller via funktionalitet i systemet.
Kontakta Håkan Reutman på Osolo om du vill ha råd och stöd i vad som behövs göras för just ditt system eller webbplats.