EU har beslutat om en ny förordning, dataskyddsförordningen (även kallad GDPR), som innehåller regler om hur man får behandla personuppgifter. Dataskyddsförordningen börjar gälla den 25 maj 2018 och kommer att gälla direkt i alla EU:s medlemsländer (och ersätter nationella regler, som till exempel personuppgiftslagen i Sverige).
4 Grundpelare
Förordningen innehåller fyra grundpelare:
- Medgivande (consent)
- Personlig data
- Rätten att bli raderad
- Dokumentation
Medgivande
Medgivande innebär att du alltid behöver be om en persons medgivande att få kontakta dem i framtiden. Alltså, inget mera SPAM! Du kan inte längre köpa en email-lista och skicka ut erbjudanden eller nyhetsbrev. Däremot kan du erbjuda ett nyhetsbrev och be om en persons medgivande, tex genom att klicka i en checkbox på en websida. Du får bara marknadsföra dig mot personer som sagt ja-tack till att få marknadsföring från dig (och ha det medgivandet dokumenterat). Det är viktigt att notera att kravet på medgivande inte bara gäller nytillkommen personlig data utan även personlig data som sparats innan den 25 maj 2018.
Personlig data
Personlig data får bara sparas så länge som det är nödvändigt för att kunna leverera din tjänst eller vara. Huvudregeln är att personlig data ska sparas så kort tid som möjligt. Du måste också kunna visa vilken information ditt företag har sparat om en person.
Rätten att bli raderad
Rätten att bli raderad innebär att du ska kunna radera en individs personliga data om den ber om det. Det innebär också att du ska kunna visa all information du har om en person om personen frågar efter det.
Krav på dokumentation
Dokumentationskravet innebär att alla företag som hanterar persondata på något sätt behöver ha sina processer dokumenterade. Det behöver inte vara ett komplicerat dokument, men man behöver veta och kunna visa precis hur man samlar in persondata, hur den sparas och hanteras.
Vilka är fördelarna?
Idéen med den nya lagen är att hjälpa företag till en bättre marknadsföring med högre kvalitet och skydda kunders integritet. Det kommer också bli lättare att marknadsföra sig i olika länder inom EU, eftersom den nya lager gäller för hela EU.
Vad kan hända om man bryter mot GDPR?
Den som döms mot brott mot den nya dataskyddsförordningen riskerar att betala en summa som motsvarar 4% av sin årliga omsättning (kommer sannolikt justeras och anpassas beroende på överträdelse).
Om du vill veta mer
Datainspektionen har en bra sida som berättar mer om grunderna i den nya dataskyddsförordningen (GDPR): https://www.datainspektionen.se/