EU GDPR

Böter kan uppgå till 4% av den årliga globala omsättningen för brott mot GDPR eller €20 miljoner. Detta är den maximala böter som kan åläggas för de mest allvarliga överträdelserna, t.ex. att inte ha tillräckligt med kundsamtycke för att behandla data eller att bryta mot kärnan i "Privacy by Design"-koncepten.

Personuppgifter är all information som kan användas för att direkt eller indirekt identifiera en person, såsom namn, foto, e-postadress, bankuppgifter, inlägg på sociala nätverkswebbplatser, medicinsk information eller en datorns IP-adress.

Samtycke måste ges i en begriplig och lättillgänglig form med syftet för databehandlingen kopplat till det samtycket. Det måste vara entydigt, lätt identifierbart och använda clear och lättförståelig språk. Det måste också vara lika enkelt att återkalla samtycke som att ge det. Vid behandling av känsliga personuppgifter kommer inget mindre än "opt-in" att vara tillräckligt.

Om den registrerade är under 16 år krävs förälders samtycke för att behandla barnets personuppgifter. Medlemsstater kan sänka åldern för förälders samtycke, men inte lägre än 13 år.

DPO måste utses i fall av (a) offentliga myndigheter, (b) organisationer som bedriver storskalig eller systematisk övervakning av stora datamängder, eller (c) organisationer som deltar i massbehandling av känsliga personuppgifter (Art. 37). Om din organisation inte faller inom en av dessa kategorier behöver du inte utse en DPO.

Anmälan om överträdelse

Enligt GDPR kommer anmälan om överträdelse att bli obligatorisk i alla medlemsstater där en dataintrång sannolikt kommer att "resultera i en risk för rättigheterna och friheterna för individer." Anmälan måste ske inom 72 timmar efter att man blivit medveten om överträdelsen. Databehandlare kommer också att behöva informera kontrollerna "utan onödigt dröjsmål" efter att de först blivit medvetna om en dataintrång.

Rätt till tillgång

De registrerade har rätt att få bekräftelse från datakontrollanten om huruvida personuppgifter som rör dem har behandlats, var och i vilket syfte. Datakontrollanten ska tillhandahålla en kopia av personuppgifterna, kostnadsfritt, i ett elektroniskt format.

Rätt att bli glömd

Känd som dataradering, ger rätten att bli glömd den registrerade rätten att få datakontrollanten att radera deras personuppgifter, upphöra med vidare spridning av uppgifterna och potentiellt få tredje parter att stoppa behandlingen av uppgifterna. Uppgifterna får inte längre vara relevanta för de ursprungliga syftena för behandlingen eller en registrerad återkallar sitt samtycke. Det bör också noteras att denna rättighet kräver att kontrollerna jämför den registrerades rättigheter med "det allmänna intresset av tillgången till uppgifterna" när sådana begärningar övervägs.

Dataportabilitet

Den registrerade kan ta emot de personuppgifter som rör dem, som de tidigare har tillhandahållit i ett "vanligt använt och maskinläsbart format" och har rätt att överföra dessa uppgifter till en annan kontrollant.

Integritet genom design

Dataskydd måste vara i kärnan av de teknologiska system som kontrollerna och behandlarna använder för att hantera de registrerades information, inte bara en tilläggsfunktion.

Den information som måste göras tillgänglig för en registrerad när data samlas in har definierats noggrant och inkluderar:

• Identiteten och kontaktuppgifterna för kontrollanten och DPO
• Syftena med behandlingen, för vilka personuppgifterna är avsedda
• Den rättsliga grunden för behandlingen
• Om tillämpligt, de legitima intressen som eftersträvas av kontrollanten eller av en tredje part
• Om tillämpligt, mottagarna eller kategorier av mottagare av personuppgifterna
• Den period under vilken personuppgifterna kommer att lagras, eller om detta inte är möjligt, kriterierna som används för att bestämma denna period
• Förekomsten av rätten att få tillgång till, rätta eller radera personuppgifterna
• Rätten till dataportabilitet
• Rätten att återkalla samtycke när som helst
• Rätten att lämna in ett klagomål till en tillsynsmyndighet

Viktigt är att där data inte har erhållits direkt från den registrerade (kanske genom att använda en tredjepartslista), varierar listan och inkluderar från vilken källa personuppgifterna härstammar:

• Förekomsten av eventuell profilering och meningsfull information om logiken som är involverad samt betydelsen och de avsedda konsekvenserna av sådan behandling för den registrerade.
• GDPR utgör ett betydande problem för marknadsförare som får data från tredjepartslistor.

1. Sätt en proaktiv plan för din GDPR-efterlevnad.
2. Granska sekretessmeddelanden och policyer, och se till att de uppfyller GDPR-efterlevnadsnivåer.
3. Förbered en plan för fall av säkerhetsbrott.
4. Granska dina samtycken.
5. Gör marknadsföringssamtycken opt-in.
6. Granska den legitima intresse-delen av direktivet med din juridiska rådgivare för att säkerställa att det täcker din organisation för användningen av köparens data för att behandla och hantera den beställningen.
7. Gör ditt samtyckesspråk lätt att hitta och läsa om användningen av personuppgifter.
8. Skapa en handlingsplan för registrerade begärningar till din organisation för användningen av deras data.
9. Bli ansvarig för din efterlevnad.
10. Utbilda dina anställda.
11. Ha clear processer på plats, skrivna och granskade.
12. Utse en DPO där det krävs.
13. Se till att dina kontrollanter/hanteringspartners är efterlevande.

GDPR gäller för organisationer, kontrollanter och processorer som är belägna inom och utanför EU, som erbjuder varor eller tjänster till EU:s registrerade. GDPR gäller också för organisationer, såsom marknadsföringsorganisationer eller de som tillhandahåller eller använder data som övervakar beteendet hos EU:s registrerade.

En kontrollant bestämmer syftena, villkoren och medlen för behandlingen av personuppgifter, medan processorn behandlar personuppgifterna på uppdrag av kontrollanten.