Gissningsvis är det många som fortfarande sliter sitt hår för att bli redo innan den nya dataskyddsförordningen – som går under namnet GDPR – träder i kraft den 25 maj.
Kanske kan det lugna några företagare att det ändå är rätt få svenskar som ens vet om att de nya reglerna är på väg, så någon storm av kunder som ifrågasätter företagets datainsamling kanske inte är att vänta.
Men det betyder inte att företagen kan släppa förberedelserna och köra på som vanligt. GDPR ska följas och för de som misslyckas kan det bli kostsamt. Då väntar nämligen böter på upp till 4 procent av den globala omsättningen eller 20 miljoner euro.
Känner du paniken komma? Lugn, än hinner du lösa det viktigaste.
# Mer än du tror kan vara en personuppgift
Mycket av rapporteringen kring GDPR har varit fokuserad på hur användare av olika tjänster påverkas av förändringarna. Det ska vara enkelt för användare att begära ut information som företag och organisationer har samlat, och vill du lämna en tjänst ska du kunna välja att bli glömd.
Men de nya reglerna innebär också att företag måste ha koll på vad som händer med användarens uppgifter när denne exempelvis besöker en hemsida.
Det kan vara något så enkelt som att typsnittet du använder på hemsidan skickar användarens personuppgifter vidare till en annan part, då gäller det att ha koll på vart uppgifterna tar vägen och hur de används.
Det är inte bara namn, adress och telefonnummer som räknas som personuppgifter. Enkelt förklarat kan man säga att alla uppgifter som på något sätt går att knyta till en person kan vara en personuppgift. Det kan exempelvis vara vara ett foto eller en röstinspelning som kan knytas till en person.
# Behöver du verkligen samla in uppgifter?
Det kan vara bra att kolla över vilka uppgifter som verkligen är nödvändiga. Kanske kan du klara dig utan vissa uppgifter och på så sätt minska mängden arbete som krävs för att följa de nya reglerna?
Det krävs rättslig grund för att få samla in personuppgifter, vilket betyder att du får samla in uppgifter om de exempelvis är nödvändiga för att uppfylla avtalet mellan dig och kunden att leverera en tjänst.
Det kan också vara så enkelt som att du ber personen om lov att få använda dennes personuppgifter, vilket kan vara nödvändigt för att skicka ut nyhetsbrev till personer som inte redan är kund hos dig.
# Spara inte uppgifter i onödan
Reglerna i GDPR säger att man inte får spara personuppgifter för länge. Det kan exempelvis vara okej att lagra uppgifter från en tidigare kund eller användare under ett år i marknadsföringssyfte.
Men ibland kan det krävas att du lagrar personuppgifterna längre än så för att kunna uppfylla andra krav, som garantin på ett köp.
Men samla inte uppgifter på hög om det inte är nödvändigt. Det är viktigt att inte bara föra ett register över vilka personuppgifter ni hanterar, utan också över hur länge de måste sparas.
# Konkret då – vad ska vi göra?
Det är svårt att ge några enkla svar på vad ni måste göra, men några grundläggande punkter som är viktiga att tänka på för att kunna följa GDPR.
1. Utse någon som är ansvarig för dataskyddsfrågor, om organisationen behandlar känsliga uppgifter i stor skala kan det till och med vara ett krav.
2. Kolla vilka personuppgifter ni hanterar och dokumentera noga vart ni fick dem ifrån, vad ni gör med datan och till vem ni lämnar ut den. Det här är viktigt, när GDPR träder i kraft måste ni ha ett register över er behandling av personuppgifter.
3. Se till att användare och kunder kan få information om varför ni lagrar olika uppgifter, hur länge ni lagrar uppgifterna och att användarna kan lämna klagomål till Datainspektionen (snart integritetsskyddsmyndigheten eller dataskyddsmyndigheten, exakta namnet är inte klart ännu).
4. Kom ihåg att det ska vara lätt att förstå hur ni hanterar personuppgifter för användaren.
5. Inför tydliga rutiner om hur ni ska informera användare när ni har förlorat kontrollen över deras uppgifter, exempelvis vid ett dataintrång.
6. Personuppgiftsbiträden är andra parter som hanterar personuppgifter åt er, där måste ni se till att det finns biträdesavtal som säkerställer att de behandlar personuppgifterna enligt de nya kraven. Här regleras också om de i sin tur får anlita andra parter som behandlar personuppgifterna.
# Glöm inte att missbruksregeln försvinner
I personuppgiftslagen fanns det ett undantag för personuppgifter som publicerades i löpande text, exempelvis i ett mejl eller på en hemsida om informationen inte utgjorde en kränkning.
Det här undantaget försvinner samtidigt som GDPR träder i kraft, så information som lagrats på detta sätt måste ses över och eventuellt åtgärdas om det kan bryta mot reglerna i GDPR.
Därför är det viktigt att gå igenom eller rensa alla mejl så att det inte finns några uppgifter där som bryter mot de nya reglerna.
# Du är inte ensam
De här förändringarna kommer att gälla alla företag, organisationer och myndigheter som har EU-medborgare som användare eller kunder. Det innebär att företagare över hela världen sitter i samma båt och det har givetvis resulterat i att några har slagit sina kloka huvuden ihop för att hitta lösningar på problem tillsammans.
Ett exempel är de här techentreprenörerna som skapade ett GDPR-nätverk för startups – som dessutom har öppnat för andra entreprenörer att ansluta sig till nätverket för att få handfasta tips på hur man blir redo att följa reglerna.
Källa: Datainspektionen