Stäng formuläret

Jag vill starta ett projekt tillsammans med er

Jag fyller i det här formuläret för jag vill att ni ska ta kontakt med mig ASAP!

Praktiska tips om GDPR-arbete på din webbplats eller i ditt system

Under maj 2018 började EU:s nya gemensamma dataskyddslagstiftning, GDPR (General Data Protection Regulation), att gälla. Syftet är att stärka medborgarnas rättigheter och kontroll över sina personuppgifter. Samtidigt läggs ett ökat ansvar på de som behandlar och hanterar uppgifterna och företag som brister i sitt uppdrag riskerar höga böter.

18 MAR 2018

Håkan Reutman

hakan.reutman@osolo.se

Under maj 2018 började EU:s nya gemensamma dataskyddslagstiftning, GDPR (General Data Protection Regulation), att gälla. Syftet är att stärka medborgarnas rättigheter och kontroll över sina personuppgifter. Samtidigt läggs ett ökat ansvar på de som behandlar och hanterar uppgifterna och företag som brister i sitt uppdrag riskerar höga böter.



GDPR - från och med maj 2018


Samtliga företag bör se över exakt vad som gäller för dem. Vilka personuppgifter de behandlar, varför och hur. Här har vi samlat några praktiska råd för att ni ska komma vidare i ert arbete.


Observera att nedanstående är våra åsikter och tolkningar av GDPR. För att vara på den säkra sidan bör man kontrollera med Datainspektionen eller en advokatbyrå specialiserad på den här typen av frågor. Läs mer om detta på datainspektionens sidor


Om du driver ett litet företag kan det vara klokt att kolla in den nya sajten Gdpr-guiden. Datainspektionen och Tillväxtverket har gått ihop för att förklara lagen för alla småföretagare. Se guiden här


Hur påverkas din webbplats av GDPR?


Om du inte sparar personuppgifter påverkas du kanske inte alls, men det gäller att kontrollerat detta noga. Många webbplatser använder sig till exempel av insticksmoduler för att länka in mot Facebook, LinkedIn eller andra sociala medier och dessa kan i vissa fall klassas som persondata.


Om du vet om att din webbplats lagrar persondata bör du dels skapa interna processer och rutiner som krävs av GDPR, men du bör också se till att din webbplats lever upp till GDPR:s krav.


Vad räknas som personuppgift?


Allt som kan identifiera en fysisk person räknas som personuppgift. Tydliga exempel på dessa är:



  • Personnummer

  • E-postadress

  • Adress

  • Telefonnummer

  • IP-nummer (som kan vara kopplat till en individ)

  • Cookies med persondata

  • Bilder på personer


Andra exempel som kan klassas som persondata är kombinerad data som kan identifiera en fysisk person. Detta är svårare att ringa in. 


Vem har ansvaret för personuppgifter?


Du som ägare av webbplatsen och som "bestämmer ändamål och medel" med behandlingen av data personuppgiftsansvarig har ansvaret för personuppgifterna. Eftersom vi, när vi arbetar med era system, kan ha tillgång till persondata räknas vi som "biträde" och ett personuppgiftsbiträdesavtal ska upprättas mellan oss.


Några praktiska tips


Behöver mina användare godkänna cookies?


Enligt GDPR behövs det bara i de fall där det på något sätt kan inhämtas personuppgifter via cookien och i så fall krävs ett samtycke innan det görs. Detta samtycke ska dock vara ett aktivt samtycke, dvs det räcker inte med att säga att om användaren använder webbplatsen så har denna godkänt lagring av cookies.



Cookies som endast används internt av systemet, exempelvis för att komma ihåg inställningar, och inte innehåller någon persondata behöver inget godkännande från besökaren. I de fall som cookies med personuppgifter lagras så måste det även finnas funktion eller tydlig beskrivning hur användaren kan återkalla sitt godkännande.


Samtycke till lagring av personuppgifter


GDPR lägger stor vikt vid att användaren ska godkänna lagringen av persondata. Samtycket ska vara tydligt och i samband med samtycket ska det finnas information om varför man lagrar uppgifterna, vilken typ av uppgifter man lagrar och hur länge.


Den som behandlar personuppgifter med stöd av ett samtycke måste kunna visa att ett giltigt samtycke har lämnats av den registrerade.


Samtycke till e-postutskick


På detta område stramas reglerna åt ordentligt i och med GDPR. I stort sett säger regelverket att man inte får skicka e-postutskick till personer som inte redan samtyckt till detta. 


Detta innebär exempelvis att:



  • Du inte får skicka ut nyhetsbrev till personer som inte anmält sig till detta

  • För att anmäla sig till e-postutskick krävs ett aktivt val, inga förifyllda alternativ

  • Det ska gå att avanmäla sig, och det ska finnas länk till detta i samtliga utskick

  • Köpta listor med e-postadresser blir olagliga att skicka reklam till


Anonymisering / radering på begäran av användare


Ett grundläggande krav i GDPR är att användaren har rätt att bli glömd. Detta innebär att en individ kan begära att personuppgifter raderas eller tas bort där det inte finns någon tvingande orsak till dess fortsatta behandling. Orsaker att behålla persondata kan självklart vara av redovisningsmässiga krav, men det räcker inte med att man vill behålla det för t ex marknads- eller statistikunderlag.



Att glömma en kund innebär att data som lagras som innehåller kundens personuppgifter antingen måste raderas eller anonymiseras. Detta kan beroende på systemlösning man har ske antingen manuellt eller via funktionalitet i systemet


Anonymisering / radering av 'gammal' information


Enligt GDPR får man inte spara personuppgifter längre än nödvändigt. När syftet är uppnått ska uppgifterna tas bort.


Att radera (eller anonymisera) denna information bör vara antingen en återkommande manuell hantering eller, vilket nog är mest kostnadseffektivt i de flesta fall, vara automatiska funktioner inbyggda i er systemlösning.


SSL-certifikat


Vad gäller GDPR och https så tolkar olika aktörer direktivet olika, men vår tolkning är att om personuppgifter registreras via webbgränssnitt så måste detta krypteras med https för att uppnå GDPR-kraven.



Förutom syftet med att uppnå GDPR-krav så rekommenderar vi starkt att använda SSL (https) för att:



  • Höja säkerheten på din webbplats. Använder man SSL krypteras trafik mellan användare och webbplats.

  • Undvik säkerhetsvarningar i webbläsare (se nedan för exempel)

  • Komma högre upp i placering hos sökmotorer som Google och Bing. Läs mer om detta här


Google har flaggat upp att de vill att samtliga webbplatser ska ha SSL-certifikat (https) senast till sommaren 2018. De webbplatser som inte använder https kommer att generera varningar i webbläsaren.


Google Analytics


Google har på senare år modifierat sina system för att vara GDPR-kompatibel. Detta innebär att Google Analytics inte per design sparar några personuppgifter, med ett undantag. Idag sparas även IP-nummer som räknas in som personuppgift. Det är dock enkelt att justera så att Google Analytics inte längre sparar hela IP-numret, med följd av full GDPR-kompatibilitet men tyvärr med mindre precision i geografisk analys i Google Analytics gränssnitt.


Det är dock viktigt att du som webbplatsägare ser till att de länkar som analyseras av Google Analytics inte innehåller personuppgifter (exempelvis en URL innehållande e-postadress som parameter).


Begäran av utdrag av kunds personuppgifter


Individer har rätt att begära och få tillgång till de data och personuppgifter som finns lagrade om dem. Detta kan beroende på den systemlösning man har ske antingen manuellt eller via funktionalitet i systemet.


Kan Osolo stödja oss i arbetet med GDPR?


Kontakta Håkan Reutman på Osolo om du vill ha råd och stöd i vad som behövs göras för just ditt system eller webbplats.