Jan 09

FAQ: Vanliga Frågor om GDPR

FAQ: Vanliga Frågor om GDPR

  • januari 9, 2019 -

GDPR, den nya dataskyddsförordningen, kommer att påverka alla företag och organisationer som hanterar personuppgifter.

Vad innebär GDPR för ditt företag?

Vi har skapat en FAQ för att ge dig en överblick över vanliga frågor om GDPR.


1. Vad betyder GPDR?
2. När träder GDPR i kraft?
3. Varför är GDPR viktigt?
4. Vad kräver GDPR?
5. What happens if my company is not in compliance with GDPR?
6. Who does GDPR apply to?
7. Hur påverkas företag utanför EU av GDPR?
8. Hur ska mitt företag förbereda sig inför GDPR?
9. Går GDPR tillbaka i tiden?
10. Vem i företaget är ansvarig för GDPR?
11. Ska mitt företag anställa ett dataskyddsombud som ansvarar för att vi följer GDPR?
12. Vad kommer det kosta att förbereda sig inför GDPR?
13. Vad är skillnaden mellan en personuppgiftsansvarig och ett personuppgiftsbiträde?
14. Vilken typ av data skyddas med GDPR?
15. Vad menas med “rätten att bli bortglömd”?
16. Vem äger personuppgifter enligt GDPR?
17. Vad betyder privacy by design?
18. Vad menas med konsekvensbedömning (PIA)?
19. Var hittar jag en bra sammanfattning av GDPR?
20. Var finns mer bra info om GDPR?

1. Vad betyder GDPR?

GDPR är en förkortning av “General Data Protection Regulation”, på svenska även kallad dataskyddsförordningen. 2012 påbörjades de första skisserna och efter fyra år av diskussioner och förhandlingar är förordningen färdig och ska gälla som hela Europas regelverk inom dataskydd.

2. När träder GDPR i kraft?

Den 25 maj 2018 börjar lagen gälla och till skillnad från innan är GDPR en EU-lag och inte ett direktiv. Det betyder att EUs medlemsländer inte behöver skapa en enskild nationell lag först utan när lagen träder i kraft sker det automatiskt för samtliga EU-länder på en och samma gång.

3. Varför är GDPR viktigt?

Det nuvarande dataskyddsdirektivet i EU skapades 1995. Det var under en tid då Google fortfarande inte hade sett dagens ljus, Amazon var en liten bokhandel på nätet och Mark Zuckerberg fortfarande gick på gymnasiet.

Idag är situationen helt annorlunda. Majoriteten av våra inköp görs numera på nätet och en genomsnittlig vuxen har mellan 95 och 130 konton online. Organisationer har en helt annan möjlighet att analysera sina kunders information – och kan dessutom övervaka beteenden på ett helt annat sätt – jämfört med 20 år sedan.

GDPR är nödvändigt då det representerar dagens verklighet.

GDPR ger individer nya rättigheter. Konsumenter kommer få större kontroll över den information som organisationer har och kunna påverka när informationen ska raderas eller föras över till andra parter.


En av de största utmaningar som företag står inför är att tillgodose sina kunders nya rättigheter. För många företag innebär detta att de måste göra en rejäl undersökning över hur väl deras behandling av data stämmer överens med de nya konsumenträttigheterna. De måste även löpande kontrollera att företaget tar hand om personlig data korrekt på ett tekniskt och organisatoriskt plan.

4. Vad kräver GDPR?

GDPR kräver en hel del förändringar. Alla organisationer måste sätta sig in i GDPRs inverkan på deras verksamhet och se till att de följer hela förordningen. Här är några av de viktigaste kraven:

      • Många organisationer måste utse en specifik dataskyddsansvarig. Speciellt de företag som regelbundet och systematiskt behandlar och övervakar personuppgifter.
      • Verksamhetens transparens får stor betydelse. Du ansvarar för hur dina kunders, anställdas och andras uppgifter är behandlade. Det betyder att du måste veta vad du gör, varför du gör det och dessutom kunna presentera det på ett tydligt och pedagogiskt sätt.
      • Konsekvensbedömning avseende dataskydd kommer bli ett faktum. Eftersom varje nytillkommen eller redan existerande aktivitet rörande personuppgifter kommer att påverka individers rättigheter och frihet, krävs det att företag systematiskt ser över hur de på bästa sätt skyddar dessa rättigheter.
      • Kapaciteten att kunna radera och flytta information. Du måste kunna radera data när den inte längre är nödvändig eller flytta den när individen i fråga kräver det. Har dina nuvarande system kapacitet att göra detta i dagsläget?
      • Sekretess som standard och i utformning. Det tillhör företagets ryggrad att skydd av personuppgifter finns i alla processer och system.
      • Organisationen har fullt ansvar. Det räcker inte att bara följa reglerna, du måste även bevisa att du gör det. Detta innebär att företaget upprätthåller ett uppdaterat register av de aktiviteter som skett med datahanteringen. Skulle det ske ett säkerhetsbrott krävs det att det finns en fullständig översyn över vad som hänt och vilka förebyggande åtgärder som var tillgängliga när händelsen rapporterades.

5. Vad händer om mitt företag inte följer GDPR?

Det är först och främst viktigt att komma ihåg att det är ett helt nytt regelverk att förhålla sig till. Vid ett allvarligt brott (exempelvis om organisationen visar sig ha mycket otillräckliga skyddsåtgärder) är det maximala administrativa straffet upp till 4% av den globala omsättningen, alternativt 20 miljoner Euro – beroende på vad som är högst. För andra säkerhetsbrott (till exempel vid otillräckliga system för registrering av data eller om utfört brott inte har anmälts) kommer myndigheter kunna utfärda straff som motsvarar 2% av den globala omsättningen, alternativt 10 miljoner Euro.

I förordningens artikel nummer 82 finns även rätten för individer att kräva ersättning från controller eller processor. Om personuppgifter har blivit felaktigt behandlade eller använda och individen har lidit av detta finns det en risk att företaget blir drabbat av rättsliga åtgärder.


Avslutningsvis, bli inte offer för eventuell bristande ryktesspridning och speciellt inte då domslut från myndigheter är offentlig information. Det är bättre att din verksamhet klassas som ansvarsfull inför denna förordning och kan vara helt avgörande för att få ett gott rykte på den digitala marknaden.

6. Vilka måste följa GDPR?

Alla organisationer som behandlar personuppgifter såsom fysiska eller juridiska personer, offentliga myndigheter, byråer måste följa GDPR. (För verksamheter som bedriver endast personliga eller hushållsaktiviteter är exkluderade från denna lag).

Det är svårt att säga hur GDPR kommer att påverka din verksamhet men oavsett form och storlek är risken stor att just din organisation är under lupp.

Det bästa du kan göra är att ta för givet att GDPR berör just din verksamhet – även om du är osäker.

 

7. Hur påverkas företag utanför EU av GDPR?

För organisationer som behandlar och förvarar personuppgifter som är kopplade till EU eller behandlas å EUs vägnar måste följa dataskyddsförordningen. Det spelar alltså ingen roll var någonstans din organisation är placerad, så länge du gör affärer i eller med personer och organisationer som finns i EU måste du följa GDPR.

8. Hur ska vårt företag förbereda sig inför GDPR?

Att få er organisation att stämma överens med GDPRs direktiv är en lång process, speciellt om du behöver skapa nya rutiner. Till exempel behöver ni se till att organisationen är transparent och tillgodoser individens rättigheter.

        • Skapa medvetenhet. Se till att alla beslutsfattare och viktiga medarbetare är fullt medvetna om att lagen förändras – från de som jobbar med IT-frågor på golvet upp till styrelsenivå.
        • Kartlägg personuppgifterna. Vilken typ av personuppgifter sitter ditt företag på? Var någonstans förvaras informationen? Varifrån kom informationen och vilka har tillgång till den? För denna typ av grundläggande granskning av personuppgifter bör du ha det rätta verktyget som hjälper dig att kartlägga, synliggöra och hantera data vilket kommer göra livet mycket enklare för dig. För att få mer information om hur ett kartläggningsverktyg kan hjälpa dig, anmäl ert intresse här för en gratis demo.
        • Överväg att use en dataskyddsansvarig. Utse en medarbetare som ansvarar för att ert företag följer GDPR och bestäm var den rollen ska vara i organisationsstrukturen. Det vanligaste för många större företag är att det officiellt utses en dataskyddsansvarig.
        • Se över dina säkerhetsrutiner för att förhindra brott. Med detta menas att din organisation löpande säkerställer att de säkerhetsrutiner ni har för dataskydd är tillräckligt säkra. Säkerställ att du har rätt procedurer för att upptäcka, åtgärda och rapportera brott i enlighet med direktivet.
        • Granska och uppdatera rutinerna beträffande medgivande. Undersök hur du når, samlar in och hanterar medgivande av personuppgifter och se över om några ändringar krävs i rutinerna. Samma gäller för dina nuvarande sekretessmeddelanden.
        • Gör du det enkelt för individer att utöva sina rättigheter? Kommer du kunna ge en kopia på den information du har på en specifik kund om denne ber om det? Vad skulle hända om någon ber dig att radera eller flytta sin data? Säkerställ att du har de system och rutiner som krävs för att kunna möta den här typen av frågor.

9. Går GDPR tillbaka i tiden?

Du bör göra en ordentlig genomgång av hur data hanteras på företaget för att säkerställa att ni följer reglerna. Om du exempelvis använder kundinformation när du marknadsför ditt företag – är du säker på att du redan har fått klartecken från kunden att göra detta? Är detta godkännande tydligt dokumenterat och lätt att presentera?

10. Vem bär ansvaret att företaget följer GDPR?

Myndigheter rekommenderar att företag utser en person i företaget som ansvarar för GDPR. Det varierar mellan företag om vem som är bäst lämplig för rollen så var extra noggrann när du utser personen. Istället för att automatiskt lägga ansvaret på IT-chefen kanske det istället finns en annan medarbetare i arbetslaget som har mer kompetens gällande dataskyddsfrågor.

Se till att de berörda i företaget är väl insatta i området. En smart investering är att köpa in en specifik utbildning inom GDPR tillsammans med en bredare kurs inom ISO 27001 som är ett ramverk för utökad kontroll inom informationssäkerhet.

11. Ska mitt företag anställa ett dataskyddsombud som ansvarar för att vi följer GDPR?

Ett dataskyddsombud ansvarar för organisationens dataskydd med dess tillhörande regelverk och kan antingen vara anställd eller inhyrd. GDPR medför många nya regler där vissa kräver att ett dataskyddsombud finns på plats.

Enligt artikel 37 i GDPR-förordningen ska det finnas ett dataskyddsombud om:

  • organisationen är en myndighet eller en offentlig verksamhet.
  • kärnverksamheten övervakar individer regelbundet och systematiskt i stor omfattning.
  • kärnverksamheten behandlar känsliga personuppgifter eller brottsuppgifter i stor omfattning.

En “kärnverksamhet” är något företaget har för att kunna uppnå sina huvudsakliga mål. Till exempel är kärnverksamheten hos en privat läkarklinik att behandla privat hälsoinformation om sina patienter – till skillnad från den information som krävs av de anställda för att kunna betala deras lön, vilket är en stödverksamhet.

Vad menas med “stor omfattning”? Det är flera olika faktorer som bestämmer huruvida organisationen passar in under den beskrivningen, exempelvis antalet personer som berörs, till vilken volym, tidslängd och geografisk omfattning det handlar om.

Du kan ta hjälp av dessa riktlinjer för att besluta dig för om ett dataskyddsombud behövs eller inte, de är publicerade av Artikel 29-gruppen.

Om du kommer fram till att ditt företag är i behov av ett dataskyddsombud räcker det med att du utser en redan befintlig medarbetare för uppgiften. Många företag kombinerar rollen med andra existerande arbetsuppgifter i företaget.

Det viktigaste är att personen i fråga är väl insatt inom dataskyddslagen
och rapporterar direkt till högsta ledningen. Se detta som en senior roll som kräver ett stort ansvar.

12. Vad kommer det kosta att förbereda inför GDPR?

Det beror på hur företaget arbetar med dataskydd i dagsläget. Om du redan eftersträvar att jobba på bästa sätt när det kommer till kartläggning, bearbetning, säkerhet och öppenhet av data behöver det inte bli så kostsamt att anpassa företaget efter GDPR.

Personuppgifternas volym, komplexitet och känslighet som ditt företag besitter avgör också vilken omfattning av ny teknik som måste köpas in. Huruvida din nuvarande teknik skyddar personuppgifterna och följer personens egna rättigheter avgör också hur stora kostnader kommer bli.

Se detta som en möjlighet att bli framträdande på marknaden när det kommer till dataskydd. Det kan ge dig och ditt företag en konkurrenskraftig fördel samtidigt som du undviker risken att bli bötfälld.

13. Vad är skillnaden mellan en personuppgiftsansvarig och ett personuppgiftsbiträde?

En personuppgiftsansvarig är ett företag som bestämmer vilken typ av data som samlas in och varför den ska behandlas. Ett personuppgiftsbiträde är en person eller ett företag som på uppdrag av en personuppgiftsansvarig behandlar data, till exempel datalagring gjord av tredjepart, analys av data eller ren marknadsföring.

GDPR inför nya krav på personuppgiftsbiträden (läs mer här) då de kan bli bötfällda om de bryter mot lagen eller bli ersättningsskyldiga mot individer om de brutit mot deras rättigheter. GDPR inför även att biträden måste ha ett skriftligt kontrakt som tydligt beskriver syftet och omfattningen av databearbetningen.

14. Vilken typ av data skyddas med GDPR?

Definitionen av persondata är väldigt bred men utgår från att vem som helst kan anknyta data till en fysiskt levande person.

I de fall du är osäker är det lika bra att anta att data är just persondata. Här kommer några exempel på persondata:

      • Identifikationsuppgifter (såsom namn, adress, telefonnummer, bankkortsuppgifter)
      • Hälsouppgifter och biometrisk data
      • Etniskt ursprung
      • Sexuell läggning
      • Webbdata (såsom geografisk plats, IP-adress, cookies, RFID-taggar)

15. Vad menas med “rätten att bli bortglömd”?

Rätten att bli bortglömd betyder helt enkelt att individer har rätt att få deras personliga data raderad – så länge det inte finns en laglig anledning till att behålla den. Om du exempelvis behandlar data baserat på individens godkännande måste du radera den när personen tar tillbaka sitt godkännande.

 

16. Vem äger personuppgifter enligt GDPR?

Är det företaget som samlar in och behandlar personuppgifterna eller är det individen som är knuten till personuppgifterna?

GDPR lägger sig inte i personuppgifters ägandeskap men det ska vara tydligt att personen som uppgifterna hänvisar till ska ha full insyn över hur uppgifterna behandlas.

17. Vad betyder privacy by design?

GDPR kräver att du alltid tar hänsyn till dataintegritet – oavsett om du startar ett nytt analysprojekt, bygger en ny marknadsföringsdatabas eller uppdaterar ditt leveranssystem – du ska alltid ha en inbyggd integritet i verksamheten. Se till att spika fast dataskydd i alla dina processer, verktyg och projekt så tidigt som möjligt istället för att ha det som en punkt längst ner i din att-göra-lista.

Kontentan är att upptäcka och lösa integritetsfrågor innan de bli stora problem som kostar massa pengar och sätter företaget i stor risk – och samtidigt skydda individers rättigheter.

18. Vad menas med konsekvensbedömning (PIA)?

Precis som idén med den inbyggda integriteten ska en konsekvensbedömning fungera som ett verktyg vid identifiering, bedömning och granskning av integritetsrisker. GDPR kräver att det görs en konsekvensbedömning varje gång individers rättigheter och frihet sätts i hög risk.

Förordningen hänvisar specifikt till vissa högriskaktiviteter, såsom när ny teknik ska börja användas i verksamheten, när data behandlas automatiskt och vid bearbetning och behandling av känslig data (till exempel läkarjournaler).

Utöver detta behövs en konsekvensbedömning vid bland annat följande tillfällen:

      • En ny produktlansering
      • En ny app för kunder
      • Ett nytt IT-system för personal som lagrar och hanterar kundkontoinformation
      • Övervakningskameror
      • Utvärdering av profiler på sociala medier för att ringa in en viss demografisk kundgrupp
      • Delning av datainformation med en annan organisation
      • Introducering av ett tekniksystem som övervakar din personal (till exempel datasurfing)

Enligt GDPR ska en konsekvensbedömning innehålla följande:

      • En beskrivning över de databehandlingsaktiviteter som finns i organisationen och syftet med dessa
      • Den ska användas för att bedöma nödvändigheten samt omfattningen av databehandlingen
      • Den ska användas för att bedöma om individers rättigheter och friheter är i fara
      • Den ska visa vilka verktyg organisationen behöver införa för att motverka dessa risker och se till att GDPR följs

19. Var hittar jag en bra sammanfattning av GDPR?

Något som är värt att bokmärka är Artikel 29-gruppens pressrum. Där finns de senaste riktlinjerna för förordningens viktigaste delar.

20. Var hittar jag mer information om GDPR?

Det är möjligt att googla fram det mesta just nu, då ämnet har exploderat. På vår resource page och blogg finns information och checklistor.

Har du några övriga frågor? Tveka inte att ta kontakt med oss.