Efter månader av diskussioner och spekulationer kring effekterna och tillämpningen av den nya dataskyddsförordning, även kallad GDPR, inleds året med intensiva krafttag för alla berörda bolag och myndigheter för att bli compliant inför tillträdet av den nya förordningen som träder i kraft redan den 25 maj 2018.

GDPR ersätter PUL, personuppgiftslagen från 1998. Regelverket gäller alla branscher som samlar in och hanterar personlig information.

Förordningen kommer att innebära ett starkare skydd för EU-medborgares personuppgifter och tillämpas oaktat om personuppgifternas hanteras av EU-länder eller tredjestat.

Andemeningen i GDPR är att förändra den hitintills tämligen fria behandling och lagring som skett av EU-medborgares personuppgifter.

Den stora skillnaden mellan GDPR och PUL är bland annat kravet på dokumentation, där företag och organisationer nu måste kunna visa att man följer förordningen och har tydliga rutiner över hur man samlar och hanterar personuppgifter.

En annan viktig skillnad är det striktare informationskravet som stadgar att den som samlar och hanterar personuppgifter (personuppgiftsansvarige) måste lämna tydlig information om när, hur och varför personuppgifter samlas in och hanteras. Under den nya förordningen finns det även krav på dataportabilitet samt rätten att bli glömd, vilket innebär att varje medborgare har rätt att begära att dess data lämnas ut på ett portabelt sätt eller att personuppgifter raderas.

Samtycke är nästa stora förändring som följer av förordningen. Samtyckebestämmelsen kräver att den personuppgiftsansvariga måste kräva samtycke för inhämtande av personuppgifter, detta såvida inte annan rättslig grund för inhämtandet och hantering av data föreligger, såsom fullgörande av ett avtal eller lagring av personuppgifter mot bakgrund av t.ex. bokföringslagen. Oaktat samtycke eller annan rättslig grund står det klart att hanteringen av de personuppgifter som tas in är begränsad till det initiala ändamålet. Någon annan behandling får alltså inte ske. 

Personuppgiftsansvariga ska även säkerställa att det finns fullgoda IT-system även kallad ”Privacy by Design”, för att hantera säkerheten av de personuppgifter som lagras. Vid bristfällig sådan krävs adekvat incidentrapportering. Detta krav gäller även för det fall IT-leverantören är extern.

Vidare är gallring ett mycket viktigt krav där företag och organisation inte längre kan lagra personuppgifter i all oändlighet utan måste tydliggöra i vilket ändamål personuppgifter samlas och hanteras och därefter radera eller anonymisera personuppgifterna när ändamålet är uppfyllt. Den tidigare inställningen ”nice to have” är alltså utdaterad och en ny filosofi tar vid som präglas av frågan ”need to have?”.

Vad avser GDPR anpassning för just e-handlare kan bland annat följande nämnas.

E-handlare är särskilt beroende av inhämtning och hantering av personuppgifter för att kunna bedriva sina verksamheter. Därvid finns en del frågeställningar som alla e-handlare bör kunna svara på. Ex. vilka personuppgifter har vi och för vilket ändamål? Var och hur sparas de personuppgifter som vi tar in och hanterar? Hur hanteras personuppgifter internt, dvs, mellan olika IT-system, länder och tredje-part? Hur säkra är våra system och hur kan vi hantera eventuella risker kring intrång mm.? Hur hanterar vi eventuella incidenter och klagomål?

För E-handlare är det vidare av särskild vikt att uppdatera köp- eller medlemsvillkor där särskilda krav kring information om personuppgiftbehandling ställs.

E-handlare måste också ta ställning till all form av överföring av data till tredje-part samt granska nuvarande och framtida personuppgiftsbiträdesavtal med GDPR-glasögon och självklart måste en juridisk granskning av både webbplats och beställningsprocess göras av en GDPR-kunnig.

Vi kan inte nog påpeka vikten av att i god tid börja med anpassningsarbetet inför GDPR. En inadekvat förberedelse eller avsaknad av kontinuerligt arbete för att förbli compliant,  gör er nämligen sårbara för just det som gjort GDPR så omtalad, nämligen risken för sanktionsavgifter på 20 miljoner Euro eller 4% av koncernens årliga omsättning.