31 oktober, 2017 credicon

GDPR, LEK – Credicon utbildar, tar fram beslutsunderlag och policys, utför GAP-analyser och inventeringar

Vad man får och inte får göra när det handlar om cookies och andra spårningsteknik regleras i Lagen om elektronisk kommunikation (LEK) och delvis även i dataskyddsförordningen, General Data Protection Regulation (GDPR). GDPR kräver att ni har kontroll på alla personuppgifter ni hanterar och kan kommunicera detta på rätt sätt mot era kunder, leverantörer och anställda. Behöver ni hjälp skräddarsyr Credicon ett upplägg efter era behov.

NYTT: AI-förordningen antagen – Så blir ni redo

Det händer mycket inom området spårningsteknik. Det är viktigt att hålla sig uppdaterad och följa de regler som finns. Kontakta gärna Credicon för att diskutera era behov. Foto: Christina Branco/Unsplash

Cookies och andra spårningsteknikner

Vad man får och inte får göra när det handlar om cookies och andra spårningsteknik regleras i Lagen om elektronisk kommunikation (LEK) och delvis även i dataskyddsförordningen, General Data Protection Regulation (GDPR). Dessutom är en ny förordning från EU, e-Privacy Regulation, på väg att klubbas igenom. När vet vi inte, förordningen har stött på mycket kritik från bland annat publicister som menar att det kan vara slutet på en digital annonsaffär om förordningen antas.

Trots att det kanske känns rörigt har ni ett ansvar att veta vad ni gör när det handlar om cookies och andra spårningsteknikner och ni behöver även informera er kunder, leverantörer och anställda om vad ni gör.

Föreläsningar och utbildningar

Credicon håller föreläsningar och utbildningar kring bland annat följande områden:

  • Vilken typ av cookies och annan spårningsteknik finns det?
  • Vilka regler finns det?
  • Vilka instanser reglerar att reglerna följs?
  • Hur gör andra?
  • Har det utfärdats böter?
  • När måste man ha samtycke?
  • Vilka lösningar för att inhämta samtycke finns det?
  • Finns det någon branschstandard?
  • Vilket CMP (Consent Management Platform) ska vi välja? Läs mer om CMP här.

Inventering och rekommendationer

Credicon gör även inventeringar av vilka cookies och spårningstekniker ni använder samt ger rekommendationer kring inhämtning av samtycken, informationstexter och teknisk lösning. Nedan ser ni en checklista på vad ni behöver göra för att få kontroll över er spårningsteknik.

Beslutsunderlag

Credicon har lång erfarenhet av att ta fram olika rapporter som ska ligga till grund för beslut. Ofta består rapporten av flera delar: en omvärldsanalys, en nulägesbeskrivning, där ofta interna intervjuer ligger till grund, en rekommendation samt en riskanalys.

Det kan handla om olika ämnen, som exempelvis var ansvaret för spårningstekniken ska ligga i organisationen, ett upphandlingsunderlag för att välja CMP (Consent Management Platform) eller om val av användarvänlig och säker inloggningsteknik.

Kontakta gärna Credicon för att diskutera era behov.

Så blir ni redo – checklista:

  1. Utse en ansvarig och tillsätt en arbetsgrupp.
  2. Gör en inventering av vilken spårningsteknik ni använder.
  3. Sätt relevanta utgångsdatum insamlingen.
  4. Dokumentera vilken data ni lämnar till tredje part.
  5. Rensa bort all onödig insamling.
  6. Se till att ni har en tydlig, utförlig och lättförståelig information om vilken spårningsteknik ni använder och varför.
  7. Inhämta samtycke i de fall det krävs.
  8. Se till att samtycket följer kraven i GDPR
  9. Dokumentera spårningstekniken ni använder.
  10. Gör årliga revisioner.

GDPR

Den 25 maj 2018 infördes den nya dataskyddsförordningen, också kallad General Data Protection Regulation (GDPR). Den kräver att ni har kontroll på alla personuppgifter ni hanterar och kan kommunicera detta på rätt sätt mot era kunder, leverantörer och anställda.

Min GDPR-guide: Bli redo steg för steg hittar du i Medievärlden Premium

Föreläsningar och utbildningar

Credicon håller föreläsningar och utbildningar kring bland annat följande områden:

  • Vad är GDPR?
  • Vilken instans reglerar att reglerna följs?
  • Vilka är de viktigaste nyheterna i GDPR?
  • Hur ser informationskraven ut?
  • Vad är rättslig grund?
  • Vilka krav finns det på ett samtycke?
  • Vad är en intresseavvägning?
  • Vilka regler finns gällande lagringstid?
  • Vilka rättigheter har den registrerade?
  • När krävs det ett personuppgiftsbiträdesavtal?
  • Vilka måste sätta upp personuppgiftsregister?
  • Vilka måste ha ett dataskyddsombud eller data protection officer, DPO?
  • Vilka krav ställs på säkerheten?
  • Vad gäller för personuppgiftsincidenter?
  • Vad betyder ”privacy by design”?
  • Hur gör andra?
  • Vilka böter har utfärdats?
  • Vad är det senaste som hänt?

GAP-analyser, personuppgiftsregister och personuppgiftspolicys

Credicon utför även GAP-analyser, inventeringar av vilka personuppgifter ni hanterar, sätter upp register över personuppgifter samt tar fram interna och externa personuppgiftspolicys.

Så blir ni redo – checklista:

  1. Utse en ansvarig och tillsätt en arbetsgrupp
  2. Gör en inventering
  3. Identifiera prio-områden
  4. Rensa
  5. Se över säkerheten
  6. Upprätta processer
  7. Ta fram en mall för incidentrapportering
  8. Ta fram en generell extern personuppgiftspolicy
  9. Ta fram en extern personuppgiftspolicy för varje enskilt fall
  10. Skriv avtal med alla personuppgiftsbiträden
  11. Se över anställningsavtalen
  12. Utbilda internt
  13. Ta fram en intern personuppgiftspolicy
  14. Ta fram en strategi för kommunikation mot kund
  15. Tillämpa

Här hittar ni min artikel om GDPR på Medievärlden Premium:
Analys/GDPR-guide: Bli redo steg för steg

Behöver ni hjälp med ert GDPR-arbete är ni välkomna att höra av er.

GDPR – liten FAQ

Vad är dataskyddsförordningen eller General Data Protection Regulation (GDPR)?

GDPR är en EU-förordning vilket innebär att reglerna gäller som lag direkt och på samma sätt i alla EU:s medlemsstater. När förordningen trädde i kraft 2018 ersatte den nationella regler, som den svenska personuppgiftslagen, PUL.

När började GDPR att gälla?

Började tillämpas i Sverige (liksom i övriga EU) den 25 maj 2018.

Varför infördes GDPR?

Tanken är att medborgarnas integritetsskydd ska värnas: de registrerade äger sin data. Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas, och de registrerades rättigheter förstärks. 

Det finns också en tanke om att ta bort handelshinder inom EU (digital single market).

Vilka berörs av GDPR?

Alla organisationer och företag som hanterar personuppgifter om anställda, kunder och leverantörer.

Omfattande förändringar i verksamheten kan krävas som rör:
– Ekonomi
– IT
– Marknad
– HR
– Kommunikation

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som en personuppgift. Det kan handla till exempel om bilder utan namn, ip-nummer, kundnummerlistor (om det finns en ”nyckel”), lokaliseringsuppgifter och e-postadresser enligt den vanliga modellen förnamn.efternamn@företag.se

Och, vilka böter kan utfärdas?

Det finns två nivåer av sanktionsavgifter:

  • Upp till 2% av den den globala omsättningen
  • Upp till 4% av den globala omsättningen