Har du full koll på GDPR?
Publicerad 31 jan 2018
GDPR SäkerhetTroligen har ingen undgått att den 25 maj 2018 börjar den nya dataskyddsförordningen GDPR att gälla. Den ersätter personuppgiftslagen ("PuL") och motsvarande lagar i hela EES. Det här är fantastiskt bra för oss alla, det kommer att värna om vår integritet på ett helt nytt sätt.
Men det kräver att du som företagare har full koll på hur personuppgifter hanteras, lagras och hur man kan ta bort uppgifter. Vi får in många frågor från er kunder om vad den nya förordningen innebär, vad vi gör, vad du behöver göra och hos vem ansvaret ligger. Vi reder ut det hela nedan.
Hur påverkar GDPR din webbplats?
Du använder en mängd olika program, verktyg och tjänster för att samla in, hantera och lagra personuppgifter. En del av dessa kan finnas på din webbplats. Vi går igenom några olika tjänster och vad du behöver göra. Tänk på att GDPR omfattar alla personuppgifter, även de du har på papper.
Vad räknas som personuppgifter och samlar jag in det?
Som personuppgifter avses varje uppgift varigenom en fysisk person direkt eller indirekt kan identifieras, som tex:
- E-postadress
- IP-nummer (om detta är kopplat till en individ)
- En adressuppgift
- Köphistorik och cookies som kopplas ihop med personuppgifter
- Bilder
- Omdömen i kundtjänst
Vem har ansvaret?
Vissa av våra tjänster behandlar personuppgifter på annans räkning, tex nyhetsbrev. Det gör att vi är biträde och att ett biträdesavtal ska upprättas. Du som kund hos oss "bestämmer ändamål och medel" med behandlingen och är personuppgiftsansvarig.
Vi håller på att upprätta biträdesavtal med samtliga kunder och räknar med att det ska vara färdigt i god tid innan den 25 maj. Du som webbplatsägare är personuppgiftsansvarig för hur personuppgifter hanteras och lagras på din webbplats. Här kommer några tips på vad du behöver tänka på.
E-post
E-post kallas ostrukturerad data och omfattas av GDPR. Du behöver veta hur data lagras, säkerhetskopieras och hanteras. Tänk även på att utforma praxis för hur ni hanterar e-post lokalt när den finns nedladdad hos er.
Cookies
Beroende på vilken typ av cookie som sätts, räcker det i nuläget med det godkännande av cookies som används i dagsläget på de flesta webbplatser. MEN... det kommer att komma ytterligare regler avseende detta – ePrivacy. ePrivacy är ett förslag till förordning om integritet och elektronisk kommunikation. Det skulle ha antagits till den 25 maj, men kommer ej att vara klart i tid.
ePrivacy kommer bla att reglera Direktmarknadsföring, Retargeting, Metadata och hantering av cookies. För att göra det så smidigt och flexibelt för våra kunder som möjligt kommer vi att erbjuda en lösning där man själv kan hantera samtliga policytexter för cookies, säkerhet och personuppgifter. Policytexterna kommer att behöva vara unika för just ditt företag.
AdWords
Du som annonserar med Googles annonsnätverk AdWords, verkar inte påverkas i nuläget. Men när reglerna för ePrivacy införs, kommer remarketing/retargeting troligen innefattas. Håll dig uppdaterad.
Nyhetsbrev/ e-postmarknadsföring
- Du behöver tydligt visa hur personuppgifter behandlas om man anmäler sig till ditt nyhetsbrev.
- Besökaren ska göra ett aktivt val för att börja prenumerera, inga förifyllda alternativ.
- Det ska finnas länk för avregistrering i alla utskicken.
- Det har aldrig varit ett bra alternativ att köpa e-postadresser utan direkt samtycke, men nu blir det dessutom olagligt.
E-handel
En e-handelssajt innebär oftast att besökaren lämnar ifrån sig mer personuppgifter än på en vanlig informationssajt. Det gör att du behöver fundera igenom noga vilka delar som behöver anpassas.
- Vilka uppgifter du sparar, hur länge och varför.
- Ha tydlig information om hur just ni behandlar personuppgifter.
- Alltid ge besökaren möjlighet att tacka nej till marknadsföring och profilering
Formulär
I de allra flesta fall lagrar vi inte data som skickas från ett formulär på din webbplats på servern, utan det skickas enbart som ett mail till dig. Däremot behöver du informera om hur personuppgifterna kommer att hanteras när man ska fylla i formuläret.
Databaser
Vissa av våra kunder har anpassade databaser för registreringar, anmälningar, medlemskap mm. Här behöver man se över så att det tydligt informeras kring vilka och hur uppgifterna sparas. Det kan även vara praktiskt att bygga in automatisk radering av data efter viss tid.
SSL-certifikat
Google har ju flaggat upp att de vill att samtliga webbplatser ska ha SSL-certifikat (https) senast till sommaren 2018. Som vi tolkar det, behövs det nog även för att uppfylla GDPR fullt ut.
Mer information om GDPR hos Datainspektionen
OBS: Denna text ska ses som rent informativ och ska inte förknippas eller tas som juridisk rådgivning. För att anpassa er verksamhet till GDPR insisterar vi på att ni anlitar en jurist eller konsult som är specialiserad på detta.
Notera - GDPR omfattar väldigt mycket mer arbete än anpassning och justering av din webbplats. Detta är för många företag det minsta arbetet.