GDPR – dataskyddsförordningen
GDPR eller dataskyddsförordningen, innebär att alla verksamheter som hanterar i personuppgifter måste följa denna förordning och i Sverige är det IMY – Integritetsskyddsmyndigheten som utövar kontroll på att lagen efterföljs.
GDPR har sju stycken grundprinciper och för att följa lagen behöver du granska din egen hantering av personuppgifter så att du gör rätt enligt dessa principer. Hur er verksamhet hanterar personuppgifterna ska dokumenteras i en Integritetspolicy som ska finnas publicerad på webbplatsen.
Det är alltid den som äger eller är tex VD för en verksamhet som är huvudansvarig för att GDPR lagen efterföljs. Därför är det viktigt att denna person alltid är delaktig i framtagandet av er integritetspolicy.
Om någon person anser att ni inte hanterat hens uppgifter enligt GDPR kan hen anmäla detta till IMY som kan skapa ett sk. tillsynsärende, IMY kan utfärda tex sanktionsavgifter om de bedömmer att ni har brustit i ert ansvar med GDPR.
Vi på webbinstitutet kan alltid hjälper er i arbetet med att gå igenom GDPR och att ta fram en integritetspolicy men vi kan aldrig ta över ert ansvar inför dataskyddsförordningen,
På webbplatsen IMY.se finns information om GDPR
Viktigt att komma ihåg är att GDPR hantera personuppgiftsinformation du samlar in om personer som inte är dina kunder! När någon person eller företag har köpt en vara eller tjänst av dig är personen en kund och personuppgifterna kan sparas enligt bokföringslagen. Dock måste du alltid hantera- lagra uppgifterna på rätt sätt.
Här nedan finns några punkter om vilket arbete du behöver gå igenom och dokumentera.
- START: Berätta varför du samlar in personuppgifter.
- VILKA UPPGIFTER: Vad samlar du in och var, t.ex. namn och e-post för att prenumerera på ett nyhetsbrev
- VARFÖR: Varför samlar du in uppgifterna? För att svara på e-post, förfrågningar, offerter, skicka ut nyhetsbrev?
- HUR: Samlar du in uppgifterna via webbformulär på din webbsida eller via t.ex. Mailchimp. Cookies är en viktig insamlingskanal – se gärna vår FAQ om Cookies.
- ANVÄNDNING: Vad gör du med dina insamlade uppgifter. Förutom att du kanske har dem i ett kundsystem behöver du ange om de delas med andra företag sk. tredjepartsföretag.
- RÄTTSLIG GRUND: I GDPR finns bestämt sex rättsliga grunder för att lagra personuppgifter. Du behöver ange , för varje typ av personuppgift du lagar – vilken rättslig grund du använder. EXEMPEL:
- Samtycke = att du fått lov – att personen klickat i en ruta att det är ok att du lagrar uppgiften.
- Avtal med den registrerade = att personen är kund
- LAGRING & SKYDD. Du måste dokumentera hur du lagrar informationen – gäller både digitalt och på papper. Du behöver också tänka på om du använder ett kundregister – att leverantören av registret också måste kontrolleras av dig. Du behöver också förklara hur du skyddar uppgifterna. För online lagring gäller t.ex. vilka som har tillgång till registret och om det är med lösenord etc.
- REGISTRERADES RÄTTIGHETER: Informera om de registrerades rättigheter, som rätten att få tillgång till sina uppgifter, rätten till rättelse, rätten att bli glömd och rätten att invända mot behandling.
- DELAR DU MED DIG? Delar du med dig av de insamlade personuppgifterna – till ett moder eller dotter bolag – annan partner. Allt ska dokumenteras. Och det finns också särskilda regler för personuppgifter som delas/överförs/lagras i länder utanför EU/EES
GDPR – är framtagen för att skydda privatpersoner. Därför måste din integritetspolicy också innehålla:
- KONTAKT & ANSVAR: Du behöver en namngiven ansvarig för GDPR och publicera kontaktinformation till denna.
- ÄNDRINGAR: Om du ändrar din policy behöver du dokumentera när, varför och hur.
- KLAGOMÅL & ANMÄLAN: Du behöver informera om hur en person kan lämna klagomål på din personuppgiftshantering samt hur de kan klaga/anmäla dig hos IMY – Integritetsskyddsmyndigheten
Att ta fram en Integritetspolicy är inte ett snabb arbete. Det finns mallar och vi kan hjälpa dig men ansvaret för policyn, och användning – hantering är alltid ditt företags.