31 oktober, 2017 credicon

Compliance – GDPR och LEK

Rådgivning, utbildning och praktiskt stöd kring GDPR och LEK

Credicon erbjuder rådgivning och praktiskt stöd kring GDPR (Dataskyddsförordningen), LEK (Lagen om elektronisk kommunikation som omfattar cookies och annan spårningsteknik). Det händer mycket inom området compliance och det är viktigt för alla organisationer som att hålla sig uppdaterade och följa de regler som finns. Vi hjälper er!

Behöver ni hjälp skräddarsyr Credicon ett upplägg efter era behov. Välkomna att kontakta oss! >>

Vill ni har hjälp med att förstå och bli redo för AI-förordningen? Läs mer här>>

Tjänster

GDPR I LEK/GDPR (cookies och annan spårningsteknik)

Credicon ger råd och stöd kring GDPR, LEK. Kontakta gärna Credicon för att diskutera era behov.

GDPR (General Data Protection Regulation eller Dataskyddsförordningen)

GDPR kräver att ni har kontroll på alla personuppgifter ni behandlar och kan kommunicera detta på rätt sätt mot era kunder, medlemmar, leverantörer och anställda. Den 25 maj 2018 infördes den nya dataskyddsförordningen, också kallad General Data Protection Regulation (GDPR) och böter utdelas kontinuerligt av IMY, Integritetsskyddsmyndigheten, som är den myndighet som ansvarar för tillsynen.

Min GDPR-guide: Bli redo steg för steg hittar du i Medievärlden Premium

Föreläsningar och utbildningar

I princip alla era medarbetare behöver vara medvetna om GDPR och kunna applicera grunderna i sin vardag. Credicon håller föreläsningar och utbildningar kring bland annat följande områden:

  • Vad är GDPR?
  • Vilken instans reglerar att reglerna följs?
  • Hur ser informationskraven ut?
  • Vilka rättsliga grunder finns det?
  • Vilka krav finns det på ett samtycke?
  • Vad är en intresseavvägning och vilka kravs ställ på denna?
  • Vilka regler finns gällande lagringstid?
  • Vilka rättigheter har den registrerade?
  • När krävs det ett personuppgiftsbiträdesavtal?
  • Vilka måste sätta upp personuppgiftsregister?
  • Vilka måste ha ett dataskyddsombud eller data protection officer, DPO?
  • Vilka krav ställs på säkerheten?
  • Vad gäller för personuppgiftsincidenter?
  • Vad betyder ”privacy by design”?
  • Får vi skicka data till tredje land (USA)?
  • Hur gör andra?
  • Vilka böter har utfärdats?
  • Vad är det senaste som hänt?

Vi kan även skräddarsy föreläsningarna och utbildningarna kring vissa områden. Välkomna att kontakta Credicon för att få ett förslag. >>GAP-analays

Inventering, register och PUB-avtal

Ofta sker en omfattande behandling av personuppgifter, och det brukar vara så att ju större verksamhet ju fler behandlingar. Vi kan hjälpa er att tillsammans med ansvariga på alla avdelningar metodiskt gå igenom att registerföra alla behandlingar. En inventering är ofta nödvändig för att ni ska kunna uppfylla det lagstadgade registerkravet. Under denna process kommer vi att identifiera den rättsliga grunden för varje enskild behandling samt även de fall då ni behöver upprätta personuppgiftsbiträdesavtal, PUB-avtal med era personuppgiftsbiträden. I vissa fall kanske ni agerar personuppgiftsbiträde och även då ska ett avtal upprättas. I de flesta fall skickar ni även data till tredje land (ofta USA) och denna hantering kräver extra medvetenhet och vi kommer att rådande läge samt alternativ.

Riskanalys och konsekvensbedömning (DPIA)

Hand i hand med en GAP-analys och en inventering går en riskanalys där vi fokuserar på de aktiviteter där vi ser störst risk, kanske behandlar ni särskilt känsliga uppgifter som uppgifter om hälsa eller uppgifter om minderåriga och kanske ägnar ni er åt omfattande profilering i er marknadsföring. Vi identifierar de behandlingar som kräver en konsekvensbedömning (DPIA, Data Protection Impact Assessment) eller åtminstone en bedömning av om en full DPIA behövs. I de fall det krävs stöttar vi er i processen med att ta fram dessa.

Extern och intern personuppgiftspolicy

När ni vet vilken personuppgiftsbehandling ni ägnar er åt, varför och vilken rättslig grund ni har behöver ni ta fram en personuppgiftspolicy/integritetspolicy. Som registrerad har man alltid rätt att få veta vilken typ av behandling av personuppgifter som sker. Vi förordar ofta att ni tar fram både en extern och en intern personuppgiftspolicy för tydlighetens skull. En för era kunder, medlemmar, besökare och leverantörer och en för era medarbetare och resurskonsulter.

GAP-analys

Credicon utför GAP-analyser, alltså en analys av hur väl er organisation följer rådande regelverk och vad som krävs för att uppnå önskat läge.

Löpande uppföljning, beslutsunderlag och incidentrapportering

Vi erbjuder löpande stöd som externa rådgivare så att ni säkerställer kontinuerlig efterlevnad. Vid frågor som inte har ett givet svar diskuterar hur lagstiftningen ser ut, hur andra har gjort, om det finns någon branschstandard och om böter utdelats för att få ett så bra beslutsunderlag som möjligt. Vi rekommenderar er också att göra fortlöpande revisioner. Om ni behöver göra en incidentrapportering till IMY kan vi stötta er i denna process.

Dataskyddsombud, DSO

Credicon kan även ta rollen som dataskyddsombud (DSO/DPO) på ert företag. Omfattningen kan vi diskutera tillsammans. Enligt IMY ska ett dataskyddsombud utföra följande uppgifter:

  • samla in information om hur organisationen behandlar personuppgifter
  • kontrollera att organisationen följer bestämmelser och interna styrdokument
  • informera och ge råd inom organisationen.
  • ge råd om konsekvensbedömningar
  • vara kontaktperson för IMY
  • vara kontaktperson för de registrerade och personalen inom organisationen
  • samarbeta med IMY, till exempel vid inspektioner.

Så följer ni GDPR – checklista:

  1. Utse en ansvarig och tillsätt en arbetsgrupp
  2. Gör en inventering (glöm inte spårningstekniken, se mer nedan, och AI-systemen ni använder)
  3. Sätt upp ett register
  4. Identifiera prio-områden
  5. Rensa
  6. Se över säkerheten
  7. Bygg system med privacy by design
  8. Upprätta processer för t ex incidentrapportering och registerutdrag
  9. Ta fram en extern personuppgiftspolicy
  10. Utför konsekvensbedömningar (DPIA) i de fall det krävs
  11. Skriv avtal med alla personuppgiftsbiträden
  12. Utbilda internt
  13. Se över anställnings- och konsultavtal
  14. Ta fram en intern personuppgiftspolicy
  15. Ta fram en strategi för kommunikation mot de registrerade
  16. Tillämpa och gör revisioner

Här hittar ni min artikel om GDPR på Medievärlden Premium:
Analys/GDPR-guide: Bli redo steg för steg

Behöver ni hjälp med ert GDPR-arbete är ni välkomna att höra av er.

GDPR – liten FAQ

Vad är dataskyddsförordningen eller General Data Protection Regulation (GDPR)?

GDPR är en EU-förordning vilket innebär att reglerna gäller som lag direkt och på samma sätt i alla EU:s medlemsstater. När förordningen trädde i kraft 2018 ersatte den nationella regler, som den svenska personuppgiftslagen, PUL.

När började GDPR att gälla?

Började tillämpas i Sverige (liksom i övriga EU) den 25 maj 2018.

Varför infördes GDPR?

Tanken är att medborgarnas integritetsskydd ska värnas: de registrerade äger sin data. Den personuppgiftsansvariges ansvar och skyldigheter förtydligas och utökas, och de registrerades rättigheter förstärks. 

Det finns också en tanke om att ta bort handelshinder inom EU (digital single market).

Vilka berörs av GDPR?

Alla organisationer och företag som hanterar personuppgifter om anställda, kunder, medlemmar och leverantörer.

Omfattande förändringar i verksamheten kan krävas som rör:
– Ekonomi
– IT
– Marknad
– HR
– Kommunikation

Vad är en personuppgift?

All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet räknas som en personuppgift. Det kan handla till exempel om bilder utan namn, ip-nummer, kundnummerlistor (om det finns en ”nyckel”), lokaliseringsuppgifter och e-postadresser enligt den vanliga modellen förnamn.efternamn@företag.se

Och, vilka böter kan utfärdas?

Det finns två nivåer av sanktionsavgifter:

  • Upp till 2% av den den globala omsättningen
  • Upp till 4% av den globala omsättningen

LEK/GDPR (cookies och annan spårningsteknik)

Vad man får och inte får göra när det handlar om cookies och annan spårningsteknik regleras i LEK (Lagen om elektronisk kommunikation) och delvis även genom GDPR (Dataskyddsförordningen). Trots att det kanske känns rörigt har ni ett ansvar att veta vad ni gör när det handlar om cookies och annan spårningsteknik och ni behöver även informera er kunder, leverantörer och anställda om vad ni gör. All spårningsteknik som inte är nödvändig kräver samtycke. Och GDPR ställer höga krav på samtycken

Nya LEK (SFS 2022:482) trädde i kraft 2022. I nya LEK kan man läsa om vad som gäller för cookies i 9 kap. 28 §. Post och telestyrelsen, PTS, är tillsynsmyndighet och här kan du läsa mer om myndighetens rekommendationer.

GAP-analays

Credicon utför GAP-analyser, alltså en analys av hur väl er organisation följer rådande regelverk och vad som krävs för att uppnå önskat läge.

Inventering och register

Credicon utför inventeringar av vilka cookies och spårningstekniker ni använder och sätter upp ett register. Denna inventering sker i samråd med ansvariga på era avdelningar, ofta är marknad, analys och IT inblandade och när inventeringen är klar ska det finnas en ansvarig för varje typ av spårningsteknik och onödig spårning ska inte längre ske.

Riskanalys och prioritering

Hand i hand med en GAP-analys och en inventering går en riskanalys där vi fokuserar på de aktiviteter där vi ser störst risk, kanske behandlar ni särskilt känsliga uppgifter som uppgifter om hälsa eller uppgifter om minderåriga och kanske ägnar ni er åt omfattande profilering i er marknadsföring.

CMP (Consent Management Platform)

Samtycken, informationstexter och design

All spårningsteknik som inte är nödvändig kräver samtycke. Och GDPR ställer höga krav på samtycken. För att lösa detta är det vanligt att organisationer köper in en extern tjänst, ett CMP (Consent Management Platform). Men att bara köpa in en tjänst för att hantera samtycken räcker inte. Ni måste själva se till kategorisera spårningstekniken rätt och att designen på den sk cookiebannern är rätt utformad. VI hjälper er med samtyckestexter, informationtexter och kategoriseringar.

Upphandling

Det finns en uppsjö av CMP-tjänster och det kan vara svårt att veta vilket som passar er bäst. Credicon hjälper till med upphandlingar.

Extern cookiepolicy

När ni vet vilken typ av spårningsteknik ni använder och varför behöver ni ta fram en cookiepolicy/spårningsteknikpolicy. Vissa CMP genererar denna automatiskt men är inte alltid heltäckande. Credicon kan stötta er i denna process.

Spårningsteknikansvarig – beslutsunderlag

Det är inte alltid helt givet var ansvaret för spårningsteknik ska finnas i organisationen. Credicon har lång erfarenhet av att ta fram olika rapporter som ska ligga till grund för beslut och kan hjälpa er att utreda frågan. Rapporten består av flera delar: en omvärldsanalys, en nulägesbeskrivning, där ofta interna intervjuer ligger till grund, en rekommendation samt en riskanalys.

Föreläsningar och utbildningar

Credicon håller föreläsningar och utbildningar kring bland annat följande områden:

  • Vilken typ av cookies och annan spårningsteknik finns det?
  • Vilka regler finns det?
  • Vilka instanser reglerar att reglerna följs?
  • Hur gör andra?
  • Har det utfärdats böter?
  • När måste man ha samtycke?
  • Vilka lösningar för att inhämta samtycke finns det?
  • Finns det någon branschstandard?
  • Vilket CMP (Consent Management Platform) ska vi välja? Läs mer om CMP här.

Kontakta gärna Credicon för att diskutera era behov. >>

Löpande uppföljning och beslutsunderlag

Vi erbjuder löpande stöd som externa rådgivare så att ni säkerställer kontinuerlig efterlevnad. Vid frågor som inte har ett givet svar diskuterar hur lagstiftningen ser ut, hur andra har gjort, om det finns någon branschstandard och om böter utdelats för att få ett så bra beslutsunderlag som möjligt. Vi hjäper er att hålla koll på nyheter samt rekommenderar er att göra fortlöpande revisioner.

Så blir ni compliant – checklista:

  1. Utse en ansvarig och tillsätt en arbetsgrupp.
  2. Gör en inventering av vilken spårningsteknik ni använder.
  3. Sätt upp ett register med ett tydligt utpekat ansvar per spårning.
  4. Sätt relevanta utgångsdatum insamlingen av data.
  5. Dokumentera vilken data ni lämnar till tredje part.
  6. Rensa bort all onödig insamling av data.
  7. Se till att ni har en tydlig, utförlig och lättförståelig information om vilken spårningsteknik ni använder och varför.
  8. Inhämta samtycke i de fall det krävs.
  9. Se till att samtycket följer kraven i GDPR
  10. Dokumentera spårningstekniken ni använder.
  11. Gör årliga revisioner.