Artiklar GDPR

Vad varje företag behöver veta om GDPR

30 apr 2018

Under de senaste tio åren har vi hört mycket om möjligheterna med smart data(1) och hur det kan hjälpa företag att erbjuda mer riktade produkter och tjänster. Snart kommer dataskyddsförordningen (GDPR, General Data Protection Regulation) att förändra sättet som vi samlar in och behandlar dessa data på. Med start i maj 2018 kommer den nya förordningen att påverka alla företag som har kontakt med EU-medborgare.   

Lagstiftningen syftar till att ge individer större kontroll över sina uppgifter. Slutmålet är att göra dataskyddsreglerna mer enhetliga inom hela EU. Men ännu har färre än 35 procent av alla företag(2) gjort de förberedelser som krävs för att följa GDPR. De rättsliga följderna kan bli kännbara.  

Vad är GDPR?  

Oavsett om du driver ett litet företag eller en global organisation kommer GDPR att förändra ditt sätt att kommunicera med EU-medborgare och använda deras personuppgifter. Den här uppsättningen krav innebär den största förändringen av dataskyddet på 20 år. Förvänta dig att höra allt mer om begrepp som ”rätten att bli bortglömd” och ”rätten till dataportabilitet”.  

På grundläggande nivå kommer GDPR att ge människor större kontroll över hur deras uppgifter samlas in, behandlas och överförs. Även om detta är positivt för den enskilda individen innebär det nya utmaningar för marknadsförare och företagsägare. Den nya lagstiftningen träder i kraft den 25 maj och ersätter EU:s dataskyddsdirektiv från 1995(3). Den påverkar alla organisationer som bedriver verksamhet inom EU eller har kontakt med EU-medborgare.  

Som företagsägare är det viktigt att ha en strategi för att undvika att bryta mot de nya reglerna. Och det är hög tid att förbereda sig, eftersom sanktionsavgifterna kan bli höga(4). Organisationer som inte följer lagstiftningen kan få betala upp till 20 miljoner euro, eller 4 procent av sin globala årsomsättning för föregående år.  

 

Vad innebär GDPR? 

Den nya uppsättningen regler kommer att stärka och harmonisera lagstiftningen för dataskydd inom hela EU. Den omfattar organisationer över hela världen som behandlar uppgifter om EU-medborgare. Om ditt företag har sin bas i USA, men säljer produkter i Europa måste du alltså följa GDPR.  
Enligt lagen omfattar personuppgifter alla uppgifter som kan användas för att identifiera en individ. Det innebär att definitionen av personuppgifter blir bredare än någonsin tidigare.  

Observera att många av dessa krav redan gäller i befintlig lagstiftning och egentligen inte är några nyheter.

Enligt lagstiftningen kan en EU-medborgare (”den registrerade”) välja att få sina personuppgifter raderade så att de inte längre behandlas för vissa syften, exempelvis i reklamkampanjer. Detta kallas ”rätten att bli bortglömd”.  
De flesta organisationer kommer att få svårt att följa den här bestämmelsen med tanke på att det i vissa fall är omöjligt att radera enskilda data utan att förstöra hela säkerhetskopian. Dessutom är företagen ålagda enligt andra lagar att lagra och arkivera vissa data gällande sina kunder.

GDPR slår även fast att företag bara får lagra personuppgifter så länge som det krävs för det ursprungliga syftet. De måste även anmäla dataintrång till dataskyddsmyndigheten inom 72 timmar(5) om det inte är osannolikt att intrånget kan skada fysiska personers fri- och rättigheter.  
Det finns för närvarande ingen tidsgräns för anmälan av dataintrång till individer. Det bör dock göras så snart som möjligt.  

För att följa lagstiftningen måste organisationer säkerställa att de har tekniken och processerna för att samla in, behandla och radera uppgifter på en persons begäran. De här åtgärderna kan innefatta att publicera information om dataskydd på webbplatsen, anställa ett dataskyddsombud (om tillämpligt), kontrollera efterlevnaden och etablera tydliga och precisa interna processer.  

Företagen måste dessutom vara beredda att hantera incidenter inom rimlig tid. Detta är en prioriterad punkt med tanke på att mer än 74 procent av småföretagen och 90 procent av större organisationer har drabbats av säkerhetsintrång under de senaste åren (6).  

 

Hur kommer GDPR att påverka datainsamlingen? 

Datainsamling är en oerhört viktig del av varje marknadsföringsstrategi – online såväl som offline. Eftersom GDPR har direkt inverkan på hur företagen får samla in och behandla uppgifter kan detta innebära nya utmaningar för marknadsförare. 
Vi antar att du ber dina kunder att ange namn, yrke och årsinkomst innan de kan ladda ned ett whitepaper eller en e-book. Om du planerar att använda den informationen senare för marknadsundersökningar eller e-postkampanjer måste du informera kunderna igen. Du måste dessutom be om samtycke om detta är det rättsliga skäl du hänvisar till. 

Reglerna är ännu strängare för organisationer som samlar in personuppgifter om barn. Innan de får tillfrågas om religiös övertygelse, etniskt ursprung, hälsouppgifter eller andra känsliga uppgifter krävs ytterligare uttalat samtycke. Den här förordningen styr även användarprofilering och introducerar nya regler för data som samlas in i automatiserad form.  

Detaljhandeln använder exempelvis beteendestyrd annonsering, lojalitetskampanjer och andra marknadsföringsstrategier för att definiera målgrupper och samla information. Om de bestämmer sig för att profilera en kund så har denne rätt att protestera mot behandlingen.

På grund av den nya lagstiftningens komplexitet är många småföretag oroliga för att de inte kommer att kunna hantera förändringarna. Faktum är att över 18 procent av småföretagen i Storbritannien(7) inte ens har hört talas om GDPR. Endast 8 procent har genomfört nödvändiga förberedelser för att följa reglerna.  

Även om dessa regler kan tyckas ha negativ inverkan på hur marknadsförare kommunicerar med sin målgrupp är syftet att göra behandlingen av personuppgifter enklare för båda parter. Det är ditt ansvar som företagsägare att anpassa dig och hålla dig uppdaterad om de senaste förändringarna.  

Dun & Bradstreet kan hjälpa dig att bli redo för GDPR. Våra produkter och tjänster gör det enklare för dig att följa den nya europeiska dataskyddsförordningen. Kontakta oss för mer information! 


1. https://www.bisnodegroup.com/knowledge/our-thoughts-about/smart-data-is-the-hard-currency-of-our-time/ 
2. https://betanews.com/2018/02/27/unprepared-gdpr-right-forgotten/ 
3. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
4. https://www.gdpr.associates/data-breach-penalties/
5. https://www.itproportal.com/news/only-18-of-enterprises-have-gdpr-ready-customer-data-breach-notification-plan/ 
6. https://www.pwc.co.uk/assets/pdf/2015-isbs-technical-report-blue-03.pdf
7. https://www.infosecurity-magazine.com/news/fsb-just-8-of-uk-small-businesses/

Vill du få vårt nyhetsbrev?