Den 25 maj 2018 träder Dataskyddsförordningen (General Data Protection Regulation – GDPR) i kraft. Det är en ny Dataskyddsförordning för Europeiska Unionen (EU) som kommer att påverka hur man via sin webbplats hanterar och lagrar privata uppgifter om sina besökare inom EU. Det innebär att alla webbplatser som är tillgängliga för EU-medborgare påverkas.
Vad är GDPR?
Den allmänna Dataskyddsförordningen (GDPR) ingår i Europeiska Unionens reform av uppgiftsskyddet, som träder i kraft den 25 maj 2018. Den ersätter det nuvarande dataskyddsdirektivet (Directive 95/46/EG) från 1995.
GDPR ses också som en viktig del i den europeiska strategin för den digitala marknaden, då den förstärker de digitala rättigheterna för EU-medborgare.
Det grundläggande syftet med förordningen är att ge tillbaka kontrollen över sina personuppgifter till användarna inom EU.
Huvuddragen i förordningen är:
- Förenklad åtkomst till egna personuppgifter
- Rätt till uppgiftsportabilitet
- Tydligare ”rätt att bli bortglömd”
- Rätten att få veta när dina uppgifter har hackats
GDPR är en EU-lag, men den är inte begränsad till företag endast inom EU. Den påverkar alla organisationer över hela världen som erbjuder tjänster inom EU eller hanterar uppgifter från
EU-medborgare.
Naturligtvis ger den nya förordningen också fördelar för företagen. Till exempel gör en EU-omfattande regel om datasekretess det möjligt för små och medelstora företag att bryta sig in på nya marknader utan ytterligare administrativa krav.
Viktigt att betona är att GDPR är en mycket restriktiv lag och överträdelser eller bristande överensstämmelse med reglerna kan leda till böter på upp till 20 miljoner euro eller 4 % av företagets årliga globala omsättning. Bötesvärdet beror på överträdelsens allvar.
Dessa fakta från Europeiska kommissionen ger en bra översikt. Om du vill läsa Dataskyddsförordningen i sin helhet hittar du förordningen på EU: s publikationswebbplats.
Hur påverkar GDPR din webbplats?
Huvuddelen av GDPR gäller behandling av personuppgifter.
Enligt Art. 4 i GDPR:s definitioner:
- ”Bearbetning”: ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter” som kan vara insamling, lagring eller överföring
- ”Personuppgifter”: ”varje upplysning som avser en identifierad eller identifierbar fysisk person” som kan vara namnet eller bara en IP-adress
I dag samlar nästan alla webbplatser in data från sina besökare och det är ofta svårt att veta i vilken form uppgifterna från användarna spelas in och lagras i systemen eller överförs till en tredje part för vidare bearbetning. Den mycket vanliga användningen av Google Analytics bryter mot GDPR genom att samla, överföra, lagra och behandla personuppgifter utan ett klart samtycke från dina användare.
Ett annat exempel är användningen av cookies (en liten textfil som skickas från en webbplats och lagras på användarens dator, vilket ger möjligheten att identifiera användaren och hålla reda på dennes inställningar). I dag behöver du bara informera dina webbplatsanvändare om användningen av cookies med ett meddelande, cookiemeddelandet. Enligt GDPR måste nu dina användare uttryckligen acceptera användningen av cookies för din webbplats innan du lagrar den på användarens dator.
Vi kan inte anta att användare/besökare ger sitt samtycke till insamlingen av deras personuppgifter. Användaren måste nu ge sitt samtycke till insamlingen av deras uppgifter på ett tydligt sätt. Dessutom måste användarna informeras på ett enkelt språk om vilka data som ska samlas in och hur de ska användas. Användarna bör också informeras om deras rätt att när som helst återkalla sitt samtycke till användningen av deras privata data.
Vad behöver du göra?
Först måste du veta vilken data från användare/besökare din webbplats behandlar och hur, vilket börjar redan med användarens IP-adress. Därför behöver du göra en analys av din webbplats för att förstå hur insamling, behandling och lagring av personuppgifter görs för att identifiera eventuella överträdelser. Denna analys måste inkludera hur dina användares data överförs till och hanteras av tredje part. Som tidigare nämnts är den vanligaste och mest kända tredje parten som behandlar dina användares data Google Analytics. Analysen ska också se över alla tredje parts-plugins du använder på din webbplats. Som ägare till webbplatsen är det ditt ansvar att säkerställa att de plugins du använder överensstämmer med GDPR-kraven.
Nästa steg handlar om integritet genom design och standard (Privacy by Design and Default), vilket innebär att du behöver begränsa datainsamlingen om dina användare till det allra nödvändigaste. Du måste avgöra om du verkligen behöver samla in dessa personuppgifter från dina användare för att driva ditt företag eller om du kan klara dig utan viss information.
I det tredje steget måste du säkerställa att du samlar in och behandlar minsta möjliga nödvändiga data från dina användare och se till att du får tillräckligt samtycke från dina besökare för att behandla deras data. Dessutom måste du definiera och publicera en tydlig och lättbegriplig policy om vilken typ av personuppgifter ditt företag samlar om sina besökare, hur uppgifterna används och hur användarna kan kontrollera insamlade data.
Hur vi kan hjälpa dig!
Att följa GDPR är av största vikt för ditt företag. Vi har utvecklat följande steg för att säkerställa att din webbplats överensstämmer med de kommande kraven:
- Se över din webbplats datasäkerhet
- Designlösningar för att säkra användarens dataskydd
- Genomföra lämpliga tekniska åtgärder samt föreslå organisatoriska åtgärder
Se över din webbplats datasäkerhet
Vi gör en detaljerad analys av din webbplats med en rapport om hur användardata samlas in och behandlas, vilket även inkluderar överföring av användardata till tredje part. Naturligtvis kommer rapporten att lyfta fram identifierade potentiella brott mot användarens datasekretess.
Designlösningar för att säkra användarens dataskydd
Vi utvecklar lösningar för att förhindra eventuella överträdelser av hanteringen av personuppgifter samtidigt som du kan fortsätta med din digitala affär på bästa sätt. Fokuset i våra designlösningar är huvudprincipen för integritet genom design och standard (Privacy by Design and Default).
Genomföra lämpliga tekniska åtgärder samt föreslå organisatoriska åtgärder
När vi kommit överens om den bästa lösningen för att uppfylla dina affärsbehov och undvika överträdelser av bestämmelserna, genomför vi de nödvändiga ändringarna på din webbplats. Detta kan bestå i att till exempel uppdatera kontaktformulär, ersätta plugin-program och/eller definiera en sekretesspolicy för din webbplats. Dessutom ger vi dig verktygen som säkerställer att du i ett eventuellt fall av dataöverträdelse blir medveten om att den inträffat och hur du informerar de berörda användarna samt myndigheter.
Kontakta oss för en kostnadsfri rådgivning kring din GDPR-plan!
Sammanfattning
- Europeiska Unionens nya Dataskyddsförordning träder i kraft den 25 maj 2018
- Din webbplats som hanterar personuppgifter för EU-medborgare påverkas
- Du bör undvika insamling av onödiga personuppgifter
- Dina användares samtycke till datainsamling måste vara tydlig och kan inte antas
- Dina användare ska informeras om insamling och behandling av personuppgifter i enkelt språk
- Du måste ha processerna på plats för att informera alla intressenter om eventuella skadliga dataöverträdelser