Den nya Dataskyddsförordningen (GDPR) är en viktig förändring för alla företag, såväl globala organisationer om de har affärsrelationer med EU-länderna. Reglerna har införts för att skydda konsumenternas rättigheter för de europeiska medborgarna. Alla företag och organisationer behöver förstå konsekvenserna då GDPR's omfattande juridiska dokument täcker många olika aspekter av dataskydd. låt oss kort sammanfatta GDPR så att resan mot efterlevnad av GDPR kan börja.
Varför GDPR?
GDPR träde i kraft den 25 maj 2018 men processen började dock för länge sedan. Europeiska kommissionen (EC) lanserade sin plan för att reformera det personliga dataskyddet i januari 2012, syftet med reformen var att föra de europeiska förordningar gällande dataskydd in i den digitala tiden. Det tog nästan fyra år att komma överens om alla frågor och GDPR är en av kärnkomponenterna i detta avtal.
Nyckelbestämmelser för GDPR
Enligt GDPR-definitionen anses data som direkt eller indirekt kan identifiera en levande människa att betraktas som personuppgifter, så om din verksamhet behandlar personuppgifter måste du skydda det. Mest troligt arbetar du med personuppgifter om du hanterar e-postmeddelanden, kommentarer, sociala medier-ID, finansiell, medicinsk information, datorns IP-adresser eller annan nätverksinformation.
Nyckelbegrepp inom GDPR-regleringen:
Samtycke - Begäran om samtycke måste vara explicit. Du kan inte begrava informationen i ett långt dokument. Användare måste specifikt ge dig tillåtelse och villkoren måste vara tydliga och exakta. Användare ska också kunna dra tillbaka samtycket enkelt.
Anmälan om överträdelse - Företagen måste informera användarna vid eventuella läckage av uppgifter inom 72 timmar efter överträdelsen.
Rätt till åtkomst - Användare kan begära data om dem som behandlas. Företagen måste tillhandahålla denna information i elektronisk form, kostnadsfritt och inom rimlig tid.
Rätt att glömma - Användare har rätt att begära att uppgifter om dem raderas permanent. Företagen behöver ha en mekanism för att säkerställa att uppgifterna tas bort från vidare bearbetning.
Dataportabilitet - En person kan begära överföring av personuppgifter till en annan processor. Företagen behöver ha en mekanism för att överföra data utan att debitera användaren.
Dataskyddsansvarig (DPO) - Företag som hanterar stora data behöver utse en dataskyddsperson (DPO) som ansvarar för efterföljandet av GDPR. DPO-kravet beror på olika faktorer som antalet registrerade, datamängden, den geografiska platsen och mer. Tumregeln verkar vara att om ett företag har mer än 250 anställda, behandlar data på mer än 5000 personer under en tolvmånadersperiod eller känsliga uppgifter, behöver organisationen ha utsett en DPO.
Konsekvenser av att inte följa GDPR
GDPR är utformat för att skydda personuppgifter och dess privatliv för alla EU-medborgare. Alla företag och organisationer som behandlar personuppgifter från EU-medborgare måste följa reglerna. Att inte följa GDPR kan komma till ett högt pris då den organisation som inte följer GDPR kan bötas med upp till 20 miljoner euro eller 4 procent av sin årliga globala omsättning, beroende på vilket som är högst vilket innebär att stora företag har mycket på spel, men även för mindre företag är böterna dock tillräckligt höga för att ge skäll till att följa direktiven. GDPR gäller alltså alla företag och organisationer som arbetar med EU-konsumenter, och de behöver dokumentera och revidera sin hantering av personuppgifter enligt GDPR.
För alla affärer som hanterar europeiska kunddata är GDPR-efterlevnad obligatorisk. Även om du driver din SaaS-verksamhet utanför EU måste du fortfarande följa bestämmelserna och se till att ditt företag följer GDPR.
Pierre Gustafsson
GDPR Coach, Arbore AB