GDPR: de stora penseldragen och vad ni bara måste göra

GDPR: De stora penseldragen och vad du helt enkelt måste göra

Dataskyddsförordningen (GDPR) har varit i kraft sedan maj 2018, men många företag kämpar fortfarande med grunderna. För den svenska kontexten har IMY:s praxis gett viktig vägledning. GDPR gäller alla organisationer som behandlar personuppgifter av individer i EU, oavsett var organisationen själv befinner sig. Att förstå kärnprinciperna och minimikraven är avgörande.

Kärnprinciperna

• Laglighet, korrekthet och öppenhet: Du måste ha en giltig rättslig grund för behandling av personuppgifter och vara transparent med hur du använder dem.
• Ändamålsbegränsning: Data måste samlas in för specificerade, uttryckliga och berättigade ändamål.
• Uppgiftsminimering: Samla bara in den data du faktiskt behöver.
• Korrekthet: Håll personuppgifter korrekta och uppdaterade.
• Lagringsminimering: Behåll inte personuppgifter längre än nödvändigt.
• Integritet och konfidentialitet: Skydda personuppgifter med lämpliga säkerhetsåtgärder.

Vad du som minimum måste göra

Börja med en datakartläggning för att förstå vilka personuppgifter du samlar in, var de lagras, hur de används och vem som har tillgång till dem. Skapa en integritetspolicy som tydligt förklarar dina datapraktiker. Implementera en samtyckehanteringslösning för din webbplats, i enlighet med lagen om elektronisk kommunikation. Etablera en process för att hantera registrerades rättigheter, som rätten till tillgång och radering. Säkerställ att dina personuppgiftsbiträden (tredjepartsverktyg och tjänster) har lämpliga personuppgiftsbiträdesavtal på plats.

Registrerades rättigheter

GDPR ger individer starka rättigheter över sina personuppgifter. Som företag måste du kunna hantera förfrågningar om tillgång (rätten att få veta vilka uppgifter du har), rättelse (rätten att korrigera felaktiga uppgifter), radering (rätten att bli glömd), begränsning av behandling och dataportabilitet. Ha en tydlig process på plats för att hantera sådana förfrågningar inom den lagstadgade tidsfristen på 30 dagar.

Rättsliga grunder för behandling

En av de vanligaste missförståndena kring GDPR är att samtycke alltid krävs. I verkligheten erbjuder GDPR sex rättsliga grunder för behandling av personuppgifter. Förutom samtycke finns berättigat intresse, avtal, rättslig förpliktelse, skydd av vitala intressen och allmänt intresse. För marknadsföringsändamål är samtycke och berättigat intresse de mest relevanta. Att välja rätt rättslig grund för varje typ av behandling är avgörande och kräver en juridisk bedömning.

Dokumentation och ansvarsskyldighet

GDPR kräver att du kan demonstrera att du följer regelverket, inte bara att du faktiskt gör det. Det innebär att du behöver dokumentera din datakartläggning, dina konsekvensbedömningar, dina samtyckesmekanismer och dina processer för att hantera registrerades rättigheter. Denna dokumentation bör hållas uppdaterad och vara tillgänglig om en tillsynsmyndighet begär den.

Vanliga fallgropar

Många organisationer fokuserar uteslutande på sin webbplats cookiebanner (läs mer om vad cookies egentligen är) medan de försummar andra kritiska områden som samtycke för e-postmarknadsföring, hantering av anställdas data och leverantörshantering. GDPR-efterlevnad är inte ett engångsprojekt. Det kräver löpande uppmärksamhet och regelbunden granskning av dina datapraktiker allteftersom din verksamhet utvecklas och nya verktyg tas i bruk. En genomtänkt datastrategi hjälper dig att navigera dessa krav.

Konsekvenser vid bristande efterlevnad

Böterna för GDPR-överträdelser kan uppgå till 20 miljoner euro eller 4 procent av den globala årsomsättningen, beroende på vilken summa som är högst. Men de ekonomiska konsekvenserna är bara en del av bilden. Skadan på varumärkets förtroende och kundrelationer kan vara ännu mer kostsam på lång sikt. Genom att investera i grundläggande efterlevnad skyddar du inte bara dig mot böter utan bygger också förtroende hos dina kunder och partners.