Nybörjarguide om efterlevnad av GDPR (2022)

Innehållsförteckning

Vad är GDPR?

Vid det här laget har ni säkert alla hört talas om GDPR. Fram till den 25 maj 2018 var riktlinjerna för personlig information, i förhållande till integritet, lite vaga. Dataskyddsdirektivet (1995) gav några grundläggande riktlinjer, men det var helt enkelt inte tillräckligt bra.

Vi har alltid haft ett stort intresse för GDPR eftersom många av de VPN-tjänster som vi har granskat har varit tvungna att göra allvarliga förändringar i sitt sätt att arbeta, inklusive några av de stora aktörerna som Avast och NordVPN.

Övervakning och delning av information omfattas nu av den allmänna dataskyddsförordningen (GDPR). Syftet är att se till att information hanteras på ett ansvarsfullt sätt av alla företag som hanterar personlig information och integritet.

Enligt ICO finns det sju huvudprinciper i GDPR. Dessa är:

  • Laglighet, rättvisa och öppenhet
  • Begränsning av syftet
  • Minimering av uppgifter
  • Noggrannhet
  • Begränsning av lagringsutrymmet
  • Integritet och konfidentialitet (säkerhet)
  • Ansvarsskyldighet

De principer som beskrivs är inga regler i sig, utan snarare en översikt över de grundläggande principer som bör följas när man skapar god praxis för dataskydd. Om enskilda personer eller företag inte följer principerna kan de dömas till böter på upp till 20 miljoner euro eller 4 % av deras totala globala årsomsättning (beroende på vilket belopp som är högst).

Vad var det innan GDPR?

GDPR tillämpas i hela Europa och varje land har sin egen kontroll över vissa aspekter av förordningen. Storbritannien har infört dataskyddslagen (2018) som ersätter 1998 års dataskyddslag.

Den nya lagen antogs av underhuset och överhuset strax innan GDPR trädde i kraft.

Konsekvenser för företagen

Oavsett om du är en individ, en organisation eller ett företag kan du betecknas som “registeransvarig” eller “registerförare” av personuppgifter. Information Commissioners Officer (ICO ) beskriver exakt vad skillnaden är mellan registeransvariga och registerförare.

Företag som övervakar eller erhåller personuppgifter i stor skala bör anställa ett dataskyddsombud. Den ansvariga personens roll ska säkerställa att företaget i fråga följer GDPR. Alla frågor eller funderingar om dataskydd ska ställas till dem.

GDPR gäller för företag som behandlar personuppgifter om EU-medborgare. Detta gäller även företag med färre än 250 anställda. Som tidigare nämnts bör alla överträdelser som kan påverka de registrerades rättigheter rapporteras till Information Commissioner’s Office (ICO).

Om möjligt ska ett brott loggas och rapporteras inom 24 timmar, eller högst 72 timmar. ICO måste informeras om överträdelsen och om hur den kommer att begränsas och lösas.

GDPR kommer att ge enskilda personer kontroll över hur företag använder deras uppgifter. Detta gäller även företag som redan har dina uppgifter. Till exempel kommer enskilda personer att ha “rätt att bli bortglömda”. Om du är kund och inte längre vill att ett företag ska ha dina personuppgifter har du alltså en laglig rätt att återkalla dina uppgifter.

Checklista för småföretag

GDPR är utan tvekan förvirrande och förståeligt nog ganska stressigt! Jag tänkte att det vore lämpligt att sammanställa en checklista för småföretag i Storbritannien så att du vet vad du kan förvänta dig och vad som förväntas av dig.

Checklistan för GDPR för småföretag bör omfatta tidigare och nuvarande anställda, leverantörer och kunder. Den bör också omfatta allas uppgifter som du behandlar, samlar in, lagrar eller registrerar och använder på något sätt.

1| Förstå dina data

Du måste förstå och visa att du förstår vilka typer av personuppgifter som du och/eller ditt företag har. Till exempel namn, adresser, IP-adresser, bankuppgifter osv. Detta omfattar även känsliga uppgifter som religiösa åsikter och hälsouppgifter. Du måste visa att du förstår varifrån de kommer och hur du kommer att använda dem.

2| Tänk på samtycke

Kräver ditt företag samtycke för att behandla personuppgifter? Vissa marknadsföringsmetoder kräver samtycke, vilket gör det mycket svårare enligt GDPR. Samtycket måste vara extremt tydligt och specifikt, så om du inte vet till hundra procent vad du gör kan det vara värt att undvika att förlita dig på samtycke om det inte är avgörande för din affärsmodell.

3| Överväga säkerhetsåtgärder

Dina befintliga säkerhetsåtgärder och policyer måste uppdateras för att vara GDPR-kompatibla. Och om du inte redan har några på plats bör du få dem ganska snabbt! Även om det finns mer specifika krav på säkerhet kan du använda kryptering som en allmän säkerhetsåtgärd.

4| Tillträdesrättigheter för föremål

Enskilda personer har rätt att få tillgång till sina personuppgifter. Du måste se till att ditt företag är redo att tillhandahålla denna information inom en kort tidsram om det behövs. Enskilda personer kan vilja få tillgång till sina personuppgifter för att rätta till eventuella problem, helt enkelt för att få dem, eller de kan vilja radera dem helt och hållet. Alla förfrågningar har en tidsram på en månad.

5| Utbilda anställda

Anställda inom ditt företag bör få utbildning om personuppgifter. De måste förstå vad som utgör personuppgifter och vilka processer som används för att identifiera eventuella dataintrång. Anställda bör känna till vem ert dataskyddsombud är och vilka team eller personer som är relaterade till eller ansvariga för efterlevnaden av dataskyddet.

6| Försörjningskedja

Alla leverantörer och entreprenörer inom ditt företag måste följa GDPR. Detta för att säkerställa att de inte kommer att orsaka några överträdelser och överföra eventuella straff eller böter till dig. Du måste också se till att dina avtal med dina leverantörer är uppdaterade, så se till att du får en kopia av dem.

7| Rättvis behandling

Som en del av GDPR måste du nu kunna förklara för enskilda personer vad du använder deras personuppgifter till. Detta borde inte vara en svår uppgift eller något att oroa sig för om du använder deras uppgifter på ett rättvist och korrekt sätt.

8| Dataskyddsombud

Det är dags att bestämma om du behöver anställa ett dataskyddsombud eller inte. Små företag kommer sannolikt att undantas, men större företag kanske inte. Det är värt att kolla upp det för att se till att du inte bryter mot GDPR-reglerna.

Definition av samtycke

Som privatperson kanske du känner till rutor som redan är ikryssade när du registrerar dig för onlinekonton, köper produkter, registrerar dig för nyhetsbrev osv. Dessa rutor var ofta förkryssade och något dolda, vilket gav företagen tillgång till dina personuppgifter. Nu är det slut med att bli bombarderad av oönskade marknadsföringsmejl och slumpmässiga telefonsamtal.

Samtycke har omdefinierats i de nya GDPR-reglerna. Dagarna med små bokstäver och dolda meddelanden där personer “av misstag” eller ofrivilligt registrerar sig för e-postmeddelanden, sms etc. är förbi. Politiken måste nu göras mycket tydlig och presenteras på ett sådant sätt.

Reglerna för befintliga personuppgifter är lite annorlunda. Du kanske inte behöver samtycke för detta, men det måste finnas en rättslig grund som är förenlig med dataskyddslagen (DPA). Det viktigaste här är att komma ihåg att lagstiftningen gäller både företag och konsumenter!

Rätt till tillgång

Rätten till tillgång (eller tillgång för den berörda personen) ger en person rätt att få tillgång till sina egna personuppgifter. Rätten till tillgång ger enskilda personer möjlighet att förstå hur deras uppgifter används och varför de används på detta sätt. Detta garanterar att deras uppgifter används på ett lagligt sätt.

Enskilda personer har rätt att få viss information från företag, bland annat:

  • En kopia av en enskild persons personuppgifter.
  • Bekräftelse på att en individs personuppgifter behandlas.
  • Kompletterande information (motsvarar huvudsakligen information som tillhandahålls i ett meddelande om skydd av privatlivet).

En individ har som bekant rätt till sina egna personuppgifter. De har dock inte rätt till information om andra människor. Om den information som de försöker få fram däremot handlar om dem själva och om någon annan, är detta acceptabelt.

Det rekommenderas att du som enskild person kontrollerar om den information du begär är definierad som personuppgifter eller inte. Du kan kontrollera vad som klassas som personuppgifter (för att vara säker) här.

Är jag personuppgiftsansvarig eller personuppgiftsbiträde?

GDPR gäller för registeransvariga och registerförare, men vad innebär det egentligen? Databehandlare avser åtgärder som utförs på uppgifter, dvs. när uppgifter lagras, samlas in, registreras, delas osv. Personuppgiftsansvariga är också personuppgiftsbiträden, men skillnaden är att det är de som bestämmer vad syftet eller skälet för behandlingen av uppgifterna är.

Personuppgiftsbiträden

Som personuppgiftsbiträde har du enligt GDPR vissa rättsliga skyldigheter:

  • Uppdatera och upprätthålla uppdaterade register över personuppgifter. Detta inkluderar en beskrivning av detaljerna i behandlingsverksamheten och kategorierna av registrerade personer. Kategorier avser kunder, anställda, leverantörer och typer av behandling – överföring, mottagande, utlämnande osv.
  • Bevara och upprätthålla uppgifter om överföring till länder utanför Europeiska ekonomiska samarbetsområdet (EES).
  • Genomföra och upprätthålla lämpliga säkerhetsåtgärder, t.ex. kryptering.

Om ett personuppgiftsbiträde är ansvarigt för ett dataintrång har de ett mycket större juridiskt ansvar än dataskyddsombudet. Enskilda personer kan göra ett direkt krav mot personuppgiftsbiträdet, så det är viktigt att du förstår ditt ansvar som personuppgiftsbiträde.

Personuppgiftsansvariga

Som personuppgiftsansvarig är du av naturliga skäl också personuppgiftsbiträde. Samma GDPR-krav gäller därför. GDPR-skyldigheterna ålägger dock dig och ditt företag att se till att avtalen med bearbetningsföretag är förenliga och att standarderna uppfylls.