GDPR – så efterlever du reglerna steg för steg

GDPR-efterlevnad har blivit allt viktigare för svenska organisationer. Genom att hålla sig ajour gällande GDPR kan företag både undvika böter kopplade till exempelvis datahantering, men också omfamna de möjligheter som GDPR innebär för PR- och kommunikationsbranschen. I det här blogginlägget kommer vi prata om allt du behöver veta för att säkerställa att ni efterlever GDPR.

Den ultimata GDPR-checklistan

Även om er verksamhet är liten kan ni inte frångå GDPR. Att inte hålla koll på vad som gäller kan nämligen resultera i höga böter, vilket kan leda till ödesdigra konsekvenser för er verksamhet.

Det är viktigt att skydda persondatan. Att vara transparent om vilken data du förvaltar,  men också att skydda densamma, kommer att hjälpa dig att både bygga förtroende och stärka dina nuvarande relationer.

Det är emellertid bekymmersamt att många företag inte tar förändringarna på allvar. Enligt TrustArc tror endast 27 % av företagen att GDPR gäller dem, och 7 % undviker att be om samtycke för att samla in kunddata.

Men hur och var börjar man?

1. Uppdatera er integritetspolicy

Ett första steg går ut på att se till att er integritetspolicy, även kallad privacy policy, är relevant och uppdaterad. Se över följande områden:

  • Datalagringsperioden
  • Den registeransvariges identitet
  • Syftet med databehandlingen
  • Vem som har tillgång till datan
  • Dataöverföringspolicyer
  • En översikt över rätten att begära data
  • Återkallande av samtycke
  • Hur man kan lämna in klagomål

Se till att er integritetspolicy finns väl synlig på din webbplats så att vem som helst kan ta del av den.

2. Lär känna din data

Att efterleva GDPR betyder att du behöver lära känna din data, beakta vilken data ert företag sitter på, var den finns lagrad och vem som har åtkomst till den. Följande steg kan vara en bra början:

  • Bestäm hur länge datan ska lagras
  • Förstå målen bakom behandlingen av uppgifterna
  • Identifiera vem som har åtkomst till datan
  • Förtydliga dina policies för dataöverföringar
  • Kartlägg rätten till att göra förfrågningar
  • Hur ser processen ut för att lämna in ett klagomål?

Vill du lära dig mer om hur du kan äga din data, läs vår guide på ämnet.

3. Definiera er rättsliga grund för att behandla data

Se till att du har definierat den rättsliga grunden för databehandling, oavsett om det är samtycke eller berättigat intresse. Se också till att du har den dokumentation du behöver för att bevisa efterlevnad. Om du väljer vägen med berättigat intresse, se till att du genomför en bedömning av berättigat intresse, på engelska “Legitimate Interests Assessment” (LIA). Det är en riskbedömning baserad på din specifika kontext och omständigheter – och att den är tillgänglig för alla inom din organisation att hänvisa till.

4. Säkra webbplatsen

Det är absolut nödvändigt att se till att din webbplats är säker. Det innebär att data som lagras på webbplatsen måste skyddas, och själva webbplatsen behöver skyddas från externa attacker. Att följa dessa steg kommer att hjälpa din webbplats att få det skydd den behöver:

  • Genom att installera ett SSL-certifikat krypterar du all information som delas mellan webbplatsen och servern.
  • Använd starka lösenord och lagra dem på en molnbaserad plattform, såsom 1Password
  • Se till att du inte samlar in, använder eller lagrar personuppgifter som inte är nödvändiga för din webbplats, se också till att ta bort data när din webbplats inte längre behöver dem
  • Säkerhetskopiera din data

5.  Granska tredjepart-webbplatser

Det räcker inte med att anta att tredje parter och leverantörer följer reglerna — du måste säkerställa att de gör det. Granska dina leverantörer för GDPR-efterlevnad.

6.  Lägg till samtycke för epost

Använder du olika tjänster för att skicka ut nyhetsbrev för er kommunikation? Bra! Du måste dock få tillstånd från dina användare att skicka dessa emails. Ett sätt att göra detta på är genom så kallad dubbel opt-in, vilket uppmuntrar dina besökare och användare att verifiera sina e-postadresser efter att ha skickat in den till din webbplats.

7.  Lägg till en cookiebanner på din webbplats

En cookiebanner på din webbplats säkerställer att du följer sekretessbestämmelserna och informerar dina webbplatsbesökare om användningen av cookies, eller kakor som det kan kallas på svenska. Det ökar transparensen och användarnas förtroende samtidigt som potentiella rättsliga problem undviks.

8.  Kontrollera alla formulär på din webbplats

Har din webbplats några formulär som samlar in personuppgifter? Då måste du inkludera ett sekretessmeddelande som förklarar varför du begär deras uppgifter. Lägg till ett val för att “opta-in”, som till exempel en oförkryssad kryssruta. Lägg också till en länk till integritetsspolicyn ifall dina besökare vill ha ytterligare information.

9.  Förbered din personal

Utbilda personalen om bästa praxis när det gäller GDPR. Se till att de känner till er sekretesspolicy, samt hur de bör dela och lagra data. De bör också informeras om hur GDPR kommer att påverka deras dagliga arbete. Det är viktigt att de förstår att relativt rutinmässiga uppgifter, som e-postutskick, kan behöva genomgå noggrannare granskning för att säkerställa efterlevnad innan de skickas.

När det gäller kommunikation är en av de största påverkansfaktorerna avhängigt av hur marknadsföringsindustrin fungerar. Skräppost och att inhämta samtycke innan marknadsföring till människor är två utmanande aspekter. Självklart kommer en del av detta även att påverka PR.

Personuppgifter kan inkludera allt från ett namn eller e-postadress till känsligare uppgifter som passinformation, bankuppgifter och så vidare. Men det är vad du gör med denna data som är av största vikt. Vilken rättslig grund har du för att använda den?

Som kommunikatör hanterar du personuppgifter dagligen. Det kan handla om att hämta journalisters uppgifter och e-postadresser, eller att skicka personliga e-postmeddelanden och massutskick av pressmeddelanden. Kort sagt, det du sysslar med är att manipulera data. Enligt de nya reglerna kommer du att behöva både bearbeta och lagra data med försiktighet.

Sammanfattningsvis

Efterlevnad av GDPR är obligatoriskt för alla företag, oavsett storlek. Att ignorera det kan ha stora ekonomiska konsekvenser. Korrekt datahantering stärker relationer och bygger förtroende.

Först och främst är det viktigt att uppdatera integritetspolicyn. Denna policy bör vara synlig på din webbplats och detaljerad i frågor som rör datalagringsperioder, den registeransvariges identitet, avsikterna med behandling av datan, dataåtkomst, överföringspolicies, rättigheter att begära, metoder för att dra tillbaka samtycke och klagomålsprocessen. GDPR-efterlevnad kräver också att man förstår vilken typ av data man innehar, dess plats och dem som har tillgång till den.

Att definiera den rättsliga grunden för databehandling, oavsett om det sker genom samtycke eller genom “berättigat intresse” (LIA), är avgörande. När det kommer till berättigat intresse är det avgörande att genomföra en bedömning av detta, den måste vara tillgänglig för alla i din organisation.

Webbplatsens säkerhet är också viktigt att beakta när man diskuterar GDPR. Detta omfattar skydd av lagrad data och skydd av webbplatsen mot externa hot. Åtgärder för genomförande inkluderar installation av SSL-certifikat,   användning av starka lösenord, säkerställande av minimal datainsamling och konsekvent uppbackning av data.

Regelbundna granskningar av tredjepartswebbplatser för GDPR-efterlevnad är en annan nödvändig del. Att anta att en tredje part har koll på sin efterlevnad räcker inte, det är ditt ansvar. För de som använder e-postmarknadsföring är det viktigt att se till att användarsamtycke finns, detta kan uppnås genom funktioner som till exempel dubbel opt-in. På liknande sätt bör webbplatser ha cookie-banners. Alla webbplatsformulär som samlar in personuppgifter måste inkludera ett sekretessmeddelande och ett opt-in-alternativ. Personalen bör vara utbildad i GDPR och vara bekant med företagets integritetspolicy.