Lär mer om GDPR och hemsidors efterlevnad


Vad är GDPR?

Vad betyder GDPR?


GDPR (allmän dataskyddsförordning) är den mest betydelsefulla förändringen för uppgiftsskydd på årtionden. Förordningen kräver att företag skyddar personuppgifterna och integriteten hos EU-invånarna. Den introducerar hårdare böter för icke-uppfyllande och brott, och ger individer mer möjlighet att styra över vad företag kan göra med deras uppgifter. Alla företag som har affärer i Europa behöver uppfylla GDPR

Varför GDPR?


Det övergripande målet hos GDPR är att ge invånarna tillbaka kontrollen över deras peronuppgifter och att förenkla regelverken för internationella företag genom att förena uppgifts och integritetsbestämmelserna. GDPR är en förordning och ersätter ett direktiv (Dataskyddsdirektivet). Med en förordning hjälper GDPR till att förena uppgifts och integritetsbestämmelserna i EU för att minska administration och diskrepanser i lokal lag. Med direktiv, till skillnad från förordningar, har varje medlemsstat godtycke till hur dataskyddsregleringen införs och kan därför skilja från ett land till nästa.

Vem gäller GDPR för?


Medan förordningen har sitt ursprung i EU gäller den för företag utanför EU som erbjuder produkter och tjänster (betalda eller gratis) eller som övervakar individers beteende inom EU.

Under det tidigare Dataskyddsdirektivet omfattades ett företag av dataskyddslagarna bara om det var baserat i ett EU-land eller använde utrustning i ett EU-land för att behandla uppgifter. Den nya förordningen gäller dock för alla företag som erbjuder produkter eller tjänster till EU-individer eller övervakar dessa individers beteende. Detta är en bred expansion av kraven som kommer att påverka många fler organisationer runt om i världen.

Vilka bestraffningar finns?


GDPR:s böter kan nå ett maximum av EUR 20 miljoner eller 4 procent av årsomsättningen (det som är störst) hos organisationen, beroende på fakta och omständigheterna i fallet.

Dessutom är, för första gången, grupptalan tillåten, vilket resulterar i exponering mot både verkställighetsåtgärder och privata tvister för samma överträdelse.

Vad är personuppgift?


Personuppgift är alla uppgifter som avser till en identifierad eller identifierbar levande individ. Olika typer av uppgifter, vilka när de samlas in tillsamman kan leda till identifieringen av en specifik person anses också som personuppgift.

Personuppgift som har varit avidentifierad, krypterad eller pseudonymiserad men som kan använda för att återidentifiera en person kvarstår som personuppgift och faller inom lagrummet.

Personuppgifter som har gjort anonyma på sådant sätt att individen inte längre kan identifieras är inte längre ansedd som personuppgift. För att uppgifter ska vara korrekt anonymiserade måste anonymiseringen vara oåterkallelig.

Exempel på personuppgift inkluderar namn, efternamn, en e-postadress såsom [email protected], en hemadress, ID-kortsnummer, cookie ID, Internetprotokoll (IP).

Exempel på uppgifter som inte anses vara personuppgiter inkluderar bolagets registreringsnummer, en e-posatadress såsom [email protected] och anonymiserade uppgifter.

Överföring av uppgifter utanför EU


Personuppgifter kan flyta från Europeiska ekonomiska samarbetsområdet (EEA), vilket inkluderar alla EU-länder och icke-EU-länderna Island, Liechtenstein och Norge till tredjepartsländer utan ytterligare säkerhetsåtgärder när den Europeiska kommissionen har bekräftat att landet har tillräckligt skydd. Länder som erkänts ha tillräckligt skydd är Andorra, Argentina, Kanada (kommersiella organisationer), Faröarna, Guernsey, Israel, Isle of Man, Jersey, Nya Zealand, Schweiz, Uruguay och USA (begränsat till Privacy Shield-ramverket). Diskussioner pågår med Japan och Sydkorea.

Vem ser till att GDPR efterlevs?


Kontroll av efterlevnad av GDPR skötsa av dataskyddsmyndigheter (DPA’s) vilka ger expertråd avseende dataskyddsproblem och hanterar klagomål för brott mot GDPR. Det finns en i varje EU-medlemsstat.

Den huvudsakliga kontaktpunkten för frågor avseende dataskydd är DPA i den EU-stat ditt företag/organisation är baserat. Dock kan, om ditt företag/organisation behandlar uppgifter i olika EU-medlemsstater eller är en del av en grupp av företag etablerade i olika EU-medlemsstater, huvudkontaktpunkten vara en DPA i ett annat EU-medlemsland.

Behöver vi ett dataskyddsombud?


Ditt företag/organisation behöver utse en DPO, vare sig det är dataregisteransvarig eller en registerförare, om dess kärnaktiviteter innefattar storskalig behandling av känsliga uppgifter eller storskalig, regelbunden och systematisk övervakning av individer. I detta avseende inkluderar övervakning av uppförandet hos registrerade alla typer av spårning och profilering på internet, inklusive för syftet av beteendeannonsering.

DPO kan vara en anställd i din organisation eller kan anlitas externt baserat på serviceavtal. En DPO kan vara en individ eller en organisation.

Det är värt att notera att GDPR är baserad på en riskbaserad strategi och att organisationer uppmuntras att sätta in skyddsåtgärder svarandes mot risknivån hos deras databehandlingsaktiviteter.

Gäller GDPR för små och medelstora företag?


Ja, applikationen av dataskyddsförordningen beror inte på storleken av ditt företag/organisation utan på formen på dina aktiviteter. Aktiviteter som visar hög risk för individens rättigheter och friheter, vare sig de utförs av en SME eller av ett stort bolag aktiverar applikationen av mer strikt aregler. Dock kan vissa krav från GDPR inte gälla för alla SME.

Till exempel behöver företag med mindre än 250 anställda inte föra register över deras uppgiftsbehandlingsaktiviteter om behandling av personuppgifter inte är en regelbunden aktivitet, utgör en risk för individens rättigheter och friheter eller berör känsliga uppgifter eller brottsregister.

Av samma anledning behöver SME bara utse en Dataskyddsansvarig (DPO) om behandling är deras huvudverksamhet och det utgör specifika hot mot individens rättigheter och friheter (såsom övervakning av individer eller behandling av känsliga uppgifter eller brottsregister) speciellt eftersom det görs storskaligt.

Vad ska vi göra om vi har ett dataintrång?


Ett dataintrång sker när uppgifter för vilka ditt företag/organisation är ansvariga råkar ut för en säkerhetsincident vilket resulterar i ett brott mot konfidentialitet, tillgänglighet eller integritet. Om detta sker, och det är troligt att intrånget innebär en risk för en individs rättigheter och friheter måste ditt företag/organisation meddela tillsynsmyndigheten utan onödigt dröjsmål, och senast inom 72 timmar efter det det blivit medveten om intrånget. Om ditt företag/organisation är en uppgiftsbehandlare måste det meddela varje dataintrång till dataregisteransvarig.

Hur kan jag se till att vår organisation uppfyller GDPR?


Allmänna dataskyddsförordningen (GDPR) är baserad på en riskbaserad strategi. Företag/organisationer som behandlar personuppgifter uppmuntras att införa skyddsåtgärder svarande mot risknivån på deras databehandlingsaktiviteter. Därför är skyldigheterna hos ett företag som behandlar mycket uppgifter mer betungande än hos ett företag som behandlar en liten mängd uppgifter.

Till exempel är sannolikheten att anställa en dataskyddsansvarig för ett företag/organisation som behandlar många uppgifter högre än för ett företag/organisation som behandlar en liten mängd uppgifter. Samtidigt spelar typen av personuppgifter och påverkan av den tänkta behandlingen en roll. Behandling av en liten mängd uppgifter, men vilka är av känslig natur, till exempel hälsouppgifter, skulle kräva införandet av strängare åtgärder för att

Hur får jag en hemsida att uppfylla GDPR?


Allmänna dataskyddsförordningen (GDPR) är baserad på en riskbaserad strategi.

Företag/organisationer som behandlar personuppgifter uppmuntras att införa skyddsåtgärder svarande mot risknivån på deras databehandlingsaktiviteter. Därför är skyldigheterna hos ett företag som behandlar mycket uppgifter mer betungande än hos ett företag som behandlar en liten mängd uppgifter.

Till exempel är sannolikheten att anställa en dataskyddsansvarig för ett företag/organisation som behandlar många uppgifter högre än för ett företag/organisation som behandlar en liten mängd uppgifter. Samtidigt spelar typen av personuppgifter och påverkan av den tänkta behandlingen en roll. Behandling av en liten mängd uppgifter, men vilka är av känslig natur, till exempel hälsouppgifter, skulle kräva införandet av strängare åtgärder för att uppfylla GDPR.

Är min hemsida påverkad av GDPR


Om din organisation/företag interagerar eller gör affärer med EU-medborgare, till exempel om du säljer produkter/tjänster eller övervakar individuellt agerande på nätete, så är du applicerbar för GDPR.

Om du använder ett tredjepartsverktyg t.ex. Google or Facebook, vilket samlar in personuppgifter, så behöver du samla in ett giltigt samtycke innan en cookie eller spårningsteknologi placeras på besökarnas dator.

Om du har kontaktformulär eller nyhetsbrev som samlar in information från EU-medborgare, är du också applicerbar för GDPR och behöver säkerställa att du gör en laglig behandling av deras personuppgifter.

Vet du vilka trackers du har på din hemsida?


Många hemsidor använder spårningsteknologier, inklusive cookies, pixels och tags, för att annonsera, samla in statistik och utföra marknadsföringskampanjer. Enligt GDPR är du ansvarig att meddela och inhämta samtycke för var och en av dessa teknologier. Se till att göra en granskning av din hemsidaför att se vilka spårare du har aktiverat och körande.

Om du är osäker på vilka spårare du har på din hemsida kan du använda verktyget gratis. Det är gratis och kommer att ge ett resultat inom 5 minuter eller mindre.

Samlar du in samtycke på rätt sätt?


Det finns specifika krav på hur man inskaffar samtycke. Samtycket måste vara informerat, otvetydigt, uttryckligt, fritt givet, specifikt och ha rätten att dras tillbaka och vara skriven med enkelt språk som är klart synligt. För att samtycke ska vara informerat måste en individ minst få följande information:

  • identiteten på organisationen som behandlar uppgifterna;
  • syftet för vilket uppgifterna behandlas;
  • typen av uppgift som kommer att behandlas;
  • möjligheten att ta tillbaka sitt givna samtyckey (till exempel en länk för att avsluta prenumerationen i slutet på en e-post)
  • om samtycket är relaterat till en internationell överföring möjliga risker vid uppgiftsöverföring till tredje land.

Nedan följer ett exempel på hur du kan kommunicera och få ett giltigt samtycke:

  1. Consent should be affirmative, specific and unambiguous
  2. Details of recipients and data controller
  3. Purpose of processing and notification of profiling
  4. Duration
  5. Withdraw consent
  6. Link to complain, correct and transfer data
  7. Can decline

Är dina integritetsbanderoller bekräftande?


Standardtextfrases som är inkluderad i Cookie-meddelanden är ”genom att använda denna hemsida samtycker du till cookies” kommer inte att vara tillräcklig under GDPR, eftersom den bara föreslår underförstått samtycke, är tvetydig och generell. Du kommer nu att behöva granulära kontrollnivåer med separata samtycken för spårnings och analyscookies, liksom mekanismer för att även signalera kunds samtycke. De behöver agera bekräftande.

Har du gjort det lätt att dra tillbaka samtycke?


Det bör vara lika lätt att dra tillbaka som att ge sitt samtycke. Om samtycke dras tillbaka kan ditt företag/organisation inte längre behandla uppgifterna. När samtycket dragits tillbaka behöver ditt företag/organisation säkerställa att uppgifterna raderas om de inte kan behandlas baserat på en annan legal grund (till exempel lagringskrav eller så länge det behövs för att uppfylla avtalet).

Om uppgifterna behandlades för flera syften kan ditt företag/organisation inte använda personuppgifterna för den del av behandlingen där samtycke dragits tillbaka eller för någon del av syftena, beroende på typen av samtyckesåtertagande.

Exempel: Du tillhandahåller ett nätbaserat nyhetsbrev. Din klient har givit sitt samtycke till att prenumerera på det nätbaserade nyhetsbrevet vilket gör det möjligt för dig att behandla alla uppgifter avseende deas intressen för att bygga en profil på typen av artiklar de kommer att konsultera. Ett år senare informerar de dig att de inte längre vill få ditt nätbaserade nyhetsbrev. Du måste radera alla personuppgifter relaterade till den personen som samlats in i samband med prenumeration på nyhetsbrev från din databas, inklusive profilen/rna relaterade till den personen.

Har du namngivit de 3:e-part-plugin som behandlar dina uppgifter?


Dina integritetsbanderoller måste klart identifiera varje part för vilket samtycke ges. Det är inte tillräckligt att ange kategorins namn, såsom analys, utan ska inkludera identiteten på organisationen, t.ex. Google, som behandlar dina uppgifter.

Hur kan besökare och kunder kontakta dig för personuppgifter?


Individer kan komma att kontakta ditt företag/organisation för att utöva sina rättigheter under GDPR (rätt till åtkomst, rättelse, radering, flyttbarhet osv.). Där personuppgifter behandlas elektroniskt ska ditt företag/organisation  ge möjlighet för att begäran kan göras elektroniskt. Ditt företag/organisation måste svara på deras begäran utan onödig fördröjning, och i princip inom 1 månad från det att man tagit emot begäran.

Den kan fråga dem efter ytterligare information för att bekräfta identiteten hos den person som gör begäran.

Om ditt företag/organisation avslår begäran måste det informera personen om anledningen till varför den gjörde detta och om deras rättighet att skicka in en anmälan till Dataskyddsmyndigheten och att begära rättslig prövning.

Har du bevis på giltigt samtycke?


GDPR kräver att du behåller samtyckesbevis – vem, när, hur och vad du sade till personen. God praxis skulle vara att dokumentera både samtycke som ges och avslås för besökare och kunder när du behandlar deras personuppgifter.

Har du uppdaterat dina uppgifts- och integritetspolicyer?


Du kommer att behöva att uppdatera dina associerade policies t.ex. dataskyddspolicy. Det är viktigt för företag att ha dokumenterade policies på plats för att göra det möjligt för din personal att få en klar förståelse för vad som krävs från dem.

Dessa policies kan inkludera information såsom utbildningspolicy, uppgiftssäkerhetspolicy, registerbevarandepolicy, individåtkomstförfrågningar och process, integritetsprocess, internationell dataöverföringsprocess, dataförflyttningsprocess och klagomålsprocess.

Har du rensat upp dina distributionslistor?


Se till att rensa upp din databas för e-postadresser. Om din prenumerationsdatabas inte samlades in enligt GDPR-standard måste du beräfta att du har fått nödvändigt samtycke. Detta kunde inkludera att skick adem en e-post för åter-samtycke så att de kan välja att åter-anmäla sig. Detta kommer att ge bevis på samtycke och göra att din affärsverksamhet uppfyller GDPR.

Samlar du in för mycket information?


GDPR introducerar begreppet dataminimering, vilket ger dig rätt att bara samla in så mycket uppgifter som krävs för att lyckas med an given uppgift. Så, medan det kan vara lät att lägga till ett extra fält för att samla in information avseende telefonnummer, kön och plats, måste du bedöma huruvida du behöver detta för att behandla begäran. Dessutom kan uppgifter som samlats in för ett syfte inte omvandlas till annat utan vidare samtycke.