Få hela storyn
Starta din prenumeration

Prenumerera

Guide

Nu gäller GDPR – det här måste du ha koll på

Nu gäller GDPR – det här måste du ha koll på

I maj nästa år träder den nya dataskyddsförordningen, GDPR, i kraft. Det innebär ökade krav på hur man samlar in, lagrar och skyddar personuppgifter, liksom på öppenhet och transparens. Här är första hjälpen kring det som du som driver företag inom handeln behöver tänka på.

Publicerad: 19 oktober 2017, 09:58

Ämnen i artikeln:

Livsmedel

Innehåll

Elin Ryrfeldt är koncernansvarig för dataskyddsstöd inom Axfood sedan augusti och kommer närmast från Ericsson, där hon arbetat med IT-säkerhet och systemutveckling. Hon har bland mycket annat läst internationell ekonomi och har en magisterexamen i internationella affärer från Handelshögskolan i Stockholm, och har ett passionerat intresse för allt som rör dataskydd, kundservice och transparens.

I Sverige har vi kommit långt i vår digitalisering av nästan alla samhällsfunktioner. Vi har personnummer för allting och för den som har ett ont uppsåt är det lätt att följa de digitala fotspår som vi som konsumenter lämnar efter oss.

– Vi lever ju en stor del av våra liv i våra smarta telefoner och personlig information har blivit en handelsvara där vi ser risker, så som bedrägerier och id-kapningar. Det är en av anledningarna till att den nya, skärpta datasäkerhetslagen verkligen behövs, säger Elin Ryrfeldt, koncernansvarig för dataskyddsstöd inom Axfood, och väl insatt i allt som har med GDPR att göra.

Hon förklarar att det handlar om att få till en harmonisering inom hela EU, där det fram tills nu funnits lika många tolkningar av datasäkerhetsdirektiven som det funnits medlemsländer.

Den nya lagen berör alla företag och organisationer som på något vis samlar in, processar eller lagrar sökbara personuppgifter, vare sig det handlar om digitala eller analoga processer.

– GDPR påverkar inte vad vi gör i branschen, däremot hur vi gör saker, säger Elin Ryrfeldt.

Kom igång, skaffa kontroll

Det viktigaste är att skaffa sig kontroll. Börja med att göra en ordentlig genomlysning av er verksamhet och dess kritiska punkter. Kartlägg vilken typ av information ni har i era databaser, vilka system och applikationer, och hur dessa data används både internt och externt.

Svaren ni behöver få fram handlar om var och hur ni behandlar olika typer av personuppgifter, samt vilka system och säkerhetsrutiner ni har för detta.

Det handlar även om att göra medarbetare medvetna om vad den nya lagen i praktiken innebär, skapa förståelse och rutiner så att vi alla gör på samma sätt – hur man mejlar, sparar dokument och så vidare.

Elin Ryrfeldt tror att den nya lagen blir en rejäl utmaning för många mindre företag och organisationer, som inte har samma muskler som de stora koncernerna.

– Mitt bästa tips för att komma igång är att inte börja det arbetet i själva IT-miljön eftersom det blir som att leta nålar i en höstack. Börja i stället med att tänka igenom vilken typ av information ni behandlar och sparar och varför ni gör detta. Och tänk på att det gäller uppgifter om kunder, medarbetare och leverantörer, säger hon.

Tänk på!

■ Utse en särskild person som jobbar och ansvarar för detta, och skicka honom eller henne på en grundläggande utbildning. Såväl Datainspektionen som Svensk Handel arrangerar kurser.
■ En medveten ledning som engagerar sig i dataskyddet är också nödvändigt.
■ Räkna med att det tar tid – sätt igång nu direkt.

Så hanterar du data

Utmaningen som alla företag ställs inför med GDPR är att uppfylla lagens krav på dataminimering samtidigt som man givetvis vill ge sina kunder god och personlig service – och göra vardagen enklare genom att bästa tänkbara stöd i köpprocessen, baserat på sådant som namn, adress, ålder och tidigare köphistorik.

– Vi kan fortsätta att göra allt detta men måste bli tydligare och mer transparanta. Lagen kräver att vi går ut med tydlig information till alla som är registrerade – leverantörer, medarbetare och kunder – kring vad vi samlar in och för vilka ändamål. Och man måste se till att kunderna förstår vad de kan förvänta sig, säger Elin Ryrfeldt.

Man får varken samla in eller lagra mer uppgifter än man än man faktiskt behöver för ett givet syfte.

– Har jag sagt att jag ska använda dem till ett visst ändamål så kan jag inte sedan använda det till något annat – eller sälja dem vidare.

Man kan jämföra med en garagerensning. Det är alltid jobbigt att sätta igång men skönt när det är över

Undantaget från denne regel är när det finns en laglig grund att dela uppgifter med myndigheter, som exempelvis hälsouppgifter om en anställd till försäkringskassan i samband med sjukskrivning.

– Samma sak gäller för att hålla ett avtal. Om en kund har begärt hemkörning av en vara så måste jag som företagare kunna dela adressuppgifter med en speditör för att avtalet ska kunna uppfyllas, säger Elin Ryrfeldt.

En viktig princip i den nya lagen kallas ”privacy by design” och innebär att man måste begränsa de personuppgifter som tas in redan från början, samt rensa och radera allteftersom de inte längre behöves.

– Man kan jämföra det med en rejäl garagerensning. Det är alltid jobbigt att sätta igång men väldigt skönt när det är över.

Som företagare måste man även löpande se till att insamlade uppgifter är korrekta. En kund har alltid rätt att begära ett registerutdrag och få ett sådant ”utan onödigt dröjesmål”.

– Allt det här handlar ju om att behålla kundernas förtroende. I dagens digitala ekonomi där det mesta finns bara ett klick bort är kunder generellt mindre lojala. Det gör att trovärdighet och tillit blir ännu viktigare. Tappar du kundens förtroende så har du inget kvar, säger Elin Ryrfeldt.

... sex viktiga principer

GDPR är framtaget för att värna om EU-medborgares personuppgifter och integritet. För att uppnå detta måsta alla företag rätta sig efter följande principer:

1. Laglighet, korrekthet och öppenhet. Kunderna har rätt att veta hur deras personuppgifter kommer att hanteras, samt kunna vara trygga med att lagar och regler gällande personuppgifter faktiskt följs.

2. Ändamålsbegränsning. Personlig data får endast samlas in för uttalade och legitima syften och användningsområden – och kan inte plötsligt utökas bortom det som medgivande erhållits för. Då måste man först söka nytt medgivande från kunden.

3. Uppgiftsminimering. All persondata som sparas ska vara relevant och begränsas till vad som är nödvändigt för sammanhanget. Det är alltså inte tillåtet att spara på sig extra uppgifter som kan ”vara bra att ha”.

4. Korrekthet. Persondata som sparas ska vara korrekt. Ha därför löpande kontakt med kunderna för att försäkra dig om att uppgifterna fortfarande stämmer, och gör det enkelt för kunden att själv uppdatera sina upp gifter. Kunden har alltid rätt att begära korrigeringar – och vid sådana förfrågningar måste man agera direkt.

5. Lagringsminimering. Personuppgifter får inte sparas längre tid än nödvändigt.

Längden på tiden som anses ”nödvändig” avgörs utifrån olika ändamål. En del saker måste enligt bokföringslagen sparas i sju år, och företag som exempelvis lämnar 10-års-garantier på köpta kapitalvaror bör rimligtvis kunna spara kunduppgifterna under lika lång tid, efter samtycke från kunden. Datainspektionen väntas presentera en vägledning kring detta.

6. Integritet och konfidentialitet. Persondata måste behandlas på ett sätt så att uppgifterna är skyddade mot obehörig eller olaglig behandling. Som företag måste du garantera att kunduppgifterna inte får spridning.

Om kundregister

För att behandla personuppgifter måste man ha så kallad ”legal rätt”, det vill säga ha ett tydligt ändamål, rutiner för informationslämning, gallring av uppgifter och ett högt säkerhetstänk.

– I dag har många en tendens att spara på sig uppgifter bara för det kostar så lite och kan vara ”bra att ha”. Det är inte längre möjligt med den nya lagen, säger Elin Ryrfeldt.

Man kommer att kunna fortsätta att göra mycket av det man vill göra, skillnaden är att man måste kunna visa och bevisa att man har rätt att göra det.

Tänk på!

■ Trovärdighet. Kunden måste få informationen innan de agerar och surfar runt på sajten, veta om de kan röra sig fritt eller om informationen sparas och analyseras eller säljs vidare.
■ Tydlighet. Kunden ska inte behöva leta i någon mikroskopisk text för att få reda på vad som gäller utan det ska tydligt och klart framgå.
■ Kunden bestämmer. ”Rätten att bli glömd” förstärks i den nya lagen, så att personer som inte längre vill att personuppgifter om dem behandlas ska kunna begära att uppgifterna raderas.

Tre viktiga insikter

■ Det är alltid kunden som äger den persondata hon själv är med och genererar – inte företaget som samlat in den.
■ Om en kund exempelvis begär att få ut hela sin inköpshistorik från en e-handlare så har hon rätt till det.
■ På samma sätt kan kunden fritt ta med sig innehåll som hon själv skapat, som exempelvis alla spellistor vid byte från en streamingtjänst till en annan.

GDPR i korthet

EU:s nya dataskyddsförordning General Data Protection Regulation, GDPR, som träder i kraft den 25 maj 2018 innebär bland annat hårdare krav på hantering av personuppgifter.

Det kommer att ställas krav på nya rutiner och processer för säker hantering av register samt krav på ansvarig ledningsnivå.

Nya dataskyddsförordningen kommer att gälla för alla organisationer och branscher som sparar eller på något sätt hanterar personlig och känslig information om sina anställda eller sina kunder.

Elin svarar: tre aktuella frågor om kundregister

1. Hur säkerställer man över tid att personuppgifter som behandlas är korrekta?

– Genom att ha löpande kontakt med kunderna för att försäkra dig om att uppgifterna fortfarande stämmer, att abonnera på uppgifter från folkbokföringsregistret och genom att göra det enkelt för kunden att själv uppdatera sina uppgifter.

2. I vilken utsträckning gäller GDPR för personuppgifter på papper?

– Lagen är teknikneutral och gäller alla medium, såväl elektroniska som på papper så länge det hela är systematiserat och sökbart. Så fort du har någon form av register gäller lagen.

3. Hur kan en privatperson på bästa sätt styrka sin identitet vid begäran av utdrag?

– Detta är något som just nu diskuteras inom Svensk Handel och genom den uppförandekod som håller på att tas fram. Ett sätt kan vara att skicka begärda uppgifter till folkbokföringsadressen. Men eftersom det även ska gå att begära ut sina uppgifter digitalt måste man hitta en lösning via exempelvis mobilt bank-ID eller via Mina sidor i kundklubben.

Agneta Renmark

Dela artikeln:


Nyhetsbreven som ger dig bäst koll på detaljhandeln

Välj nyhetsbrev