Nytt år, nya tag. I vanlig fall skulle de första frukostmötena runt om i landet handla om de strategiska målen för det nya året. Men, 2018 finns det ett ämne som redan nu borde genomsyra varje del av alla organisationer som har någon form av närvaro online – GDPR. Den 25 maj i år, 2018, träder den nya lagen i kraft och innan dess bör du se till att ditt företag följer det nya regelverket. Det behöver inte vara en stor ko på isen. Egentligen handlar det mest om att vara transparent, tydlig och se till att era kunder har full kontroll över de personuppgifter som ni lagrar och hanterar. I vår artikelserie om GDPR kommer vi ge dig bakgrunden till regelverket, vad det innebär och dela med oss av tips på hur man anpassar verksamheten efter det.
Läs mer: GDPR och dess betydelse för marknadsföring.
Bakgrunden till GDPR
GDPR är ett övergripande regelverk som behandlar hur personlig information får hanteras. Det är en vidareutveckling av Dataskyddsdirektivet, som klubbades igenom i EU den 24 oktober 1995. Direktivet förband alla EU-länder att stifta nya, eller anpassa rådande lagar för hur personuppgifter får hanteras, enligt gemensamma riktlinjer. Som en effekt av detta trädde PUL (personuppgiftslagen) i kraft i Sverige 1998. Sedan dess har utvecklingen gått otroligt fort på den digitala scenen och personuppgifter behandlas på mer och mer varierade och sofistikerade sätt på nätet. Vid sidan av detta har EUs medlemsländer implementerat dataskyddsdirektivet olika och med varierande effektivitet. Bland annat har vår egen PUL vid flera tillfällen anklagats för att vara tandlös.
För att tackla problemen, samt reglera hur ej EU-baserade företag och organisationer behandlar EU-medborgares personuppgifter, publicerades den 25 januari 2012 det första utkastet till GDPR. Den 27 april 2016 antogs det nya regelverket samtidigt som man gav en tvåårig övergångsperiod för att anpassa sig till det. I samband med att GDPR träder i kraft den 25 maj 2018 upphävs och ersätts PUL.
GDPR och PUL – likheter och skillnader
Essensen av GDPR och PUL är egentligen densamma. De ska skydda privatpersoners integritet och rätten att ha kontroll över vem och vad som får hantera deras uppgifter och även hur de hanteras. Båda regelverken behandlar också rätten till att begära att få lagrade uppgifter utlämnade till sig och att få felaktiga uppgifter rättade. Den första och största skillnaden mellan GDPR och PUL (och andra nationella regelverk) är att GDPR regleras på EU-nivå och gäller som lag, unisont, för alla EU-länder. Det är inte längre upp till medlemsländerna själva att tolka och implementera regelverket. Däremot måste ländernas övriga lagar som berörs av förordningen anpassas och det pågår för tillfället utredningar om detta just nu i Sverige. Större nyheter som företag och organisationer måste anpassa sig till inkluderar:
- Aktivt samtycke. För att få lagra och bearbeta personuppgifter måste individen i och med GDPR ge ett aktivt samtycke. Det räcker inte längre med skrivningar som ”fortsätter du använda sidan räknas det som…” osv. Som personuppgiftsansvarig är du också tvungen att kunna bevisa att någon har givit sitt samtycke. Personer har alltid rätt att dra tillbaka samtycket och du måste som leverantör tydligt meddela hur man går tillväga för detta. Det finns undantag från denna regeln, läs mer på datainspektionens sida om rättsliga grunder för personuppgiftsbehandling.
- Ansvarsskyldighet. Du som hanterar personuppgifter ska på begäran kunna bevisa att du följer bestämmelserna i GDPR.
- Dataportabilitet. Personer ska kunna begära ut och flytta sina personuppgifter från en tjänst till en annan.
- Rätten till radering. Personer ska kunna begära att deras personuppgifter raderas. Det finns en del brasklappar, men man har ALLTID rätt att få uppgifterna raderade om dessa baserades på att man gav dem i samtycke, enligt ovan.
- Tydlighet. För att få lagra och hantera personuppgifter måste du numera på ett lättförståeligt vis klart och tydligt förklara hur och varför du gör det. Du kan inte gömma dig bakom vaga formuleringar eller juridiska texter som ingen kan eller orkar läsa.
- Missbruksregeln försvinner. Missbruksregeln innebar i PUL snällare regler för hantering av personuppgifter i löpande text (exempelvis i mail) och enklare listor (exempelvis en uppställning av dokument på en lokal dator). I och med GDPR försvinner detta kryphål och samma regler kommer gälla vid dessa situationer som för annan typ av registrering.
- Hårdare böter. Missbrukar du personuppgifter enligt GDPRs lagar riskerar ditt företag böter på 20 miljoner euro alternativt 4% av företagets globala omsättning, vilket som än är högst. Det känns lite vanskligt att säga för mycket om detta, då vi inte sett GDPR i effekt än och OM den har vassare tänder än PUL.
- Företag som verkar utanför EU inkluderas. Verksamheter som existerar utanför EUs gränser, men som lagrar och/eller hanterar personuppgifter för EU-medborgare inkluderas i GDPRs regelverk.
Företag, organisationer och myndigheter påverkas på olika sätt av det nya regelverket, men i den här artikelserien kommer vi främst att fokusera på vad det innebär för företag.
En oväntad möjlighet
Generellt kan vi säga att målet för GDPR är ökad kontroll och säkerhet för individen och högre krav på transparens och tydlighet för företagen. Som privatperson välkomnar jag initiativet med öppna armar, men som marknadsförare ser jag det också som en fantastisk möjlighet. Varför?
Det kommer krävas en del tid och energi för dig, som företagare, att göra detta rätt. Men, du kan också se det som en refresh av din verksamhet. Du blir tvingad att ställa dig frågorna hur och varför du samlar in information och även att förklara nyttan av det för dina kunder. Gör du det på ett lyhört och öppet sätt kan det kanske till och med förbättra dina kundrelationer.
Detta avslutar introduktionen till vår artikelserie om GDPR. Vi vill gärna att du hojtar till om det är någon aspekt av GDPR du vill att vi tittar närmare på i de kommande avsnitten så försöker vi få med så mycket som möjligt.