Vad behöver jag veta om GDPR-lagstiftningen?

Integritetslagstiftning

Integritetslagstiftning är inte ny. Inom Europeiska unionen (EU) har varje medlemsland för närvarande sin egen integritetslagstiftning. Dessa nationella lagar är alla baserade på det europeiska integritetsdirektivet från 1995. I Nederländerna är den nationella implementeringen av detta direktiv personuppgiftslagen (Wbp).

Från och med den 25 maj 2018 gäller den allmänna dataskyddsförordningen (GDPR). Det innebär att från och med det datumet gäller endast en integritetslag i hela EU. Dataskyddsförordningen gäller inte längre, men de grundläggande principerna i den lagstiftningen utgör fortfarande kärnan i den nya GDPR. Den nederländska dataskyddsmyndigheten övervakar efterlevnaden av de lagstadgade reglerna för skydd av personuppgifter.

Vad är det allmänna syftet med GDPR?

Det övergripande syftet med den allmänna dataskyddsförordningen är att skydda EU-medborgare inom området integritetsregler och personuppgifter. GDPR ger rättigheter gällande personuppgifter som delas med organisationer som samlar in, lagrar och behandlar sådana uppgifter.

Vem gäller GDPR?

GDPR gäller alla organisationer som samlar in personuppgifter från EU-medborgare. En organisation behöver inte vara etablerad i EU för att omfattas av GDPR. Om en organisation är belägen utanför EU och samlar in personuppgifter inom EU gäller GDPR för den organisationen.

Vad kommer att förändras?

Den nya GDPR skärper reglerna från den nuvarande personuppgiftslagen. I slutändan är mycket detsamma. Dataminimering, rätten att bli bortglömd, informationsskyldighet och databehandlingsavtal har alltid varit en del av lagen, om än ibland under andra namn.
En sund integritetspolicy, en tydlig integritetspolicy, sunda avtal mellan databehandlare och personuppgiftsansvariga samt en procedur för dataintrång är också fortfarande viktiga.

Många befintliga regler har skärpts avsevärt i den nya GDPR, och flera nya skyldigheter har lagts till. Större vikt läggs vid organisationernas egna ansvar att följa lagen och att kunna visa efterlevnad.

Vad kan jag göra själv?

Som organisation kan ni redan vidta åtgärder för att vara GDPR-redo. För att hjälpa er har den nederländska dataskyddsmyndigheten listat de 10 viktigaste stegen.

Vad är personuppgifter?

GDPR anger att personuppgifter är all information som rör en identifierad eller identifierbar fysisk person. Det finns många typer av personuppgifter. Tydliga uppgifter inkluderar en persons namn, adress och bostadsort. Men telefonnummer och postnummer med husnummer är också personuppgifter. Känsliga uppgifter såsom en persons ras, religion eller hälsa kallas också särskilda kategorier av personuppgifter. Dessa ges ytterligare skydd enligt lag.

Vad innebär behandling av personuppgifter?

Behandling avser alla åtgärder en organisation kan utföra med personuppgifter, från insamling till förstöring. Lagen listar följande som exempel på behandling: insamling, registrering, organisering, lagring, bearbetning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller tillgängliggörande, sammanställning eller sammankoppling, begränsning, radering och förstöring av uppgifter.
Lagen föreskriver att en organisation endast får behandla personuppgifter om det är nödvändigt för ett specifikt ändamål.

Bearbetningsprinciper

GDPR introducerar kärnprinciper som all behandling av personuppgifter måste följa:

• personuppgifter måste behandlas på ett rättvist, lagligt och öppet sätt;
• personuppgifter får endast behandlas för ett specifikt, uttryckligt ändamål;
• endast personuppgifter som är nödvändiga för ändamålet får behandlas;
• uppgifterna måste vara korrekta och aktuella;
• om identifiering inte längre är nödvändig för ändamålet ska personuppgifterna raderas eller anonymiseras, och;
• personuppgifterna måste säkras genom tekniska och organisatoriska åtgärder.

Terminologi för personuppgiftsansvariga/personuppgiftsbehandlare

I GDPR används termerna "registeransvarig" och "personuppgiftsbehandlare" istället för termerna "ansvarig" och "personuppgiftsbehandlare" från personuppgiftslagen (Wbp). Den nederländska översättningen av GDPR ger följande definitioner:

Personuppgiftsansvarig
En fysisk eller juridisk person, myndighet, byrå eller annat organ som, ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter. Dessa är Teqas kunder som i-Reserve köper

Personuppgiftsbehandlare:
En fysisk eller juridisk person, myndighet, byrå eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Detta är vi som organisation, leverantören av i-Reserve -hosting i-Reserve.

Den registrerade
är den person vars personuppgifter en organisation behandlar. Det betyder den person som personuppgifterna avser. Det här är dina kunder, slutanvändarna.

Behandling av särskilda personuppgifter.
Utöver vanliga personuppgifter erkänns även särskilda personuppgifter enligt lagen. Det är uppgifter som är så känsliga att behandlingen av dem allvarligt kan äventyra någons integritet. Enligt GDPR är behandling av särskilda personuppgifter förbjuden om inte ett undantag gäller.

Särskilda personuppgifter är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska uppgifter, biometriska uppgifter i syfte att unikt identifiera en person, uppgifter om hälsa, sexliv eller sexuell läggning. Sådana uppgifter får därför endast behandlas under mycket strikta villkor.

Vilka är de viktigaste förändringarna för organisationer?

Om den allmänna dataskyddsförordningen gäller har organisationer som behandlar personuppgifter fler skyldigheter.

Samtycke
Ett nytt krav är att organisationen måste kunna visa att den har inhämtat giltigt samtycke från individer för att behandla deras personuppgifter. Dessutom måste det vara lika enkelt för människor att återkalla sitt samtycke som att ge det. Detta måste vara en "otvetydig" viljeyttring. Så inga fler förkryssade rutor! Begäran om samtycke måste vara tydlig och begriplig och presenteras på ett enkelt språk.
I slutändan måste du som organisation kunna bevisa att den registrerade har lämnat sitt samtycke. Den registrerade har rätt att när som helst återkalla sitt samtycke och måste informeras om denna rätt.

OBSERVERA:
Att begära samtycke för registrering av personuppgifter är inte alltid nödvändigt. Till exempel så länge de uppgifter som registreras är begränsade till vad som är nödvändigt för att fullgöra det ingångna avtalet. I andra fall måste du begära samtycke. För att ta reda på vad som gäller för dig kan du hitta mer information.

Administrativ skyldighet:
GDPR medför en dokumentationsskyldighet, vilket innebär att organisationen måste kunna visa att den agerar i enlighet med GDPR. Detta inkluderar samtycke, information som lämnas, den registrerades rättigheter, datasäkerhet, minimering av behandling och avtal med personuppgiftsbehandlare. Därför: Kartlägg databehandlingsaktiviteterna inom organisationen. Många organisationer kommer att behöva uppdatera sina integritetspolicyer, och detta är viktigt. Underlåtenhet att ha en (fullständig) integritetspolicy kommer snart att resultera i en rejäl böter.

Så snart GDPR tillämpas upphör skyldigheten enligt Wbp att anmäla databehandling till tillsynsmyndigheten. Istället måste organisationer själva föra ett register över behandlingsaktiviteter (”behandlingsregister”) som sker under deras ansvar.

Databehandlingsavtal:
Att ingå ett databehandlingsavtal är inget nytt, eftersom det redan är obligatoriskt enligt den nederländska dataskyddslagen (Wbp). Enligt GDPR kommer detta nu att kallas ett databehandlingsavtal och gäller mellan den personuppgiftsansvarige och den part som behandlar personuppgifterna för denne (för närvarande känd som personuppgiftsbehandlare, snart kallad personuppgiftsbehandlare). Det nya är dock att GDPR specificerar flera obligatoriska delar av detta avtal, inklusive:

• syftet med behandlingen;
• vilken typ av personuppgifter som behandlas;
• kategorierna av registrerade;
• att lämpliga säkerhetsåtgärder kommer att vidtas;
• att personuppgiftsbehandlaren samarbetar vid revisioner för att kontrollera om personuppgiftsbehandlaren uppfyller alla skyldigheter, och;
• efter behandling, förstöring eller återlämnande av personuppgifterna till den personuppgiftsansvarige

Från och med nu kommer personuppgiftsbiträdet inte längre att få anlita en extern part för att behandla personuppgifter utan föregående skriftligt samtycke från den personuppgiftsansvarige.

Konsekvensbedömning av integritet (PIA)
På nederländska, 'gegevensbeschermingseffectbeoordeling', är en konsekvensbedömning av integritet ett oumbärligt verktyg för organisationer att uppskatta eller utvärdera konsekvenserna för integriteten. Genom att använda en konsekvensbedömning av integriteten kan skyddet av personuppgifter införlivas på ett strukturerat sätt i intresseavvägningar och beslutsfattande inom organisationer.

Personuppgiftslagen (PIA) specificerar varför, hur och hur länge personuppgifter behandlas. En konsekvensbedömning av integritetsskydd är obligatorisk om behandling av personuppgifter, särskilt med hjälp av ny teknik, utgör risker för registrerade.

Krav på anmälan av dataintrång:
Vi har redan detta krav i nederländsk lag: anmälan av dataintrång. Detta krav är också införlivat i GDPR och förblir i stort sett oförändrat. GDPR ställer dock strängare krav på din egen registrering av dataintrång som har inträffat inom din organisation. Du är skyldig att dokumentera alla dataintrång.

Förebygg stress genom att planera i förväg hur du ska reagera om en säkerhetsrisk uppstår. Till exempel måste du som personuppgiftsansvarig i vissa situationer rapportera ett dataintrång till den nederländska dataskyddsmyndigheten inom 72 timmar. Om intrånget sannolikt utgör en hög risk för de personer vars uppgifter påverkas måste även de underrättas. Definiera därför ett arbetsflöde för säkerhetsincidenter i förväg, så att rätt personer kan fatta snabba beslut om vilka åtgärder som ska vidtas.

Den nederländska dataskyddsmyndigheten har publicerat policyregler för anmälan av dataintrång.

Du kan behöva ett dataskyddsombud.
Ett dataskyddsombud (DPO) är en oberoende person inom organisationen som ger råd och rapporterar om efterlevnaden av GDPR. Även om en DPO inte var obligatorisk enligt den nederländska dataskyddslagen (Wbp), är den i vissa situationer obligatorisk enligt GDPR. Lagen kräver en DPO när du behandlar känsliga personuppgifter, såsom hälsouppgifter, i stor skala, eller om du regelbundet observerar människor (fysiskt eller digitalt). En DPO kan utses internt, men kan också utses externt.

Den registrerades rättigheter
Personuppgifter ska behandlas på ett sätt som är lagligt, rättvist och transparent med avseende på den registrerade. Transparens är av största vikt: den registrerade ska informeras om vad som händer med deras personuppgifter. Allt ska kommuniceras på ett enkelt och tydligt språk.
Utöver den välkända rätten till tillgång, rättelse och invändning har den registrerade enligt GDPR även:

• rätten att bli bortglömd,
• rätten till dataportabilitet (även känd som dataportabilitet),
• rätten att begränsa behandlingen och
• Rätten att invända mot viss behandling. Den registrerade har rätt att när som helst invända mot behandling av sina uppgifter för direkt marknadsföring. Om den registrerade gör en sådan invändning får deras uppgifter inte längre behandlas för marknadsföringsändamål.

Rätt till tillgång:
En registrerad har rätt att få bekräftelse från den personuppgiftsansvarige om huruvida deras personuppgifter behandlas. När personuppgifter behandlas har den registrerade rätt till information om dessa uppgifter. Den registrerade har bland annat rätt till information om:

• ändamålen med behandlingen;
• de berörda kategorierna av personuppgifter;
• de mottagare till vilka personuppgifterna lämnas ut;
• lagringsperioden;
• det faktum att den registrerade har rätt att begära rättelse, radering eller begränsning av behandling och rätt att invända;
• det faktum att den registrerade kan lämna in ett klagomål.

Rätt till rättelse och rätt att invända
En registrerad har rätt att få felaktiga personuppgifter korrigerade av den personuppgiftsansvarige. Detta ska ske utan onödigt dröjsmål. Den registrerade kan invända mot vissa typer av databehandling, vilket kan leda till att behandlingen av deras personuppgifter måste avbrytas. Tänk dig en organisation som använder personuppgifter för marknadsföringsändamål. (För närvarande finns det redan en absolut rätt att invända för direktmarknadsföring. Om en registrerad utövar denna rätt får du inte längre kontakta dem för marknadsföringsändamål.)

Rätt att bli bortglömd
I vissa situationer har den registrerade rätt att få sina uppgifter helt raderade. GDPR lägger till ytterligare grunder för denna senare rättighet. GDPR introducerar rätten att bli bortglömd. Detta innebär att den personuppgiftsansvarige måste radera personuppgifter utan onödigt dröjsmål, till exempel när personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlades in eller behandlas vidare. Det är också obligatoriskt att informera de parter som du har delat uppgifterna med som svar på en sådan begäran. Namnen på dessa parter måste därför också delas med den registrerade. Den personuppgiftsansvarige måste vidta rimliga åtgärder för att radera uppgifterna, men också för att radera alla länkar, kopior eller reproduktioner.

Kolla även in alternativet att automatiskt anonymisera i i-Reserve.

Rätt till dataportabilitet
GDPR introducerar rätten till dataportabilitet, eller överförbarhet av personuppgifter. Det innebär att du kan få förfrågningar från dina kunder om att göra deras personuppgifter tillgängliga. Detta gäller alla digitala data som en organisation behandlar med den registrerades samtycke, plus de uppgifter som är nödvändiga för att fullgöra ett avtal. Sökhistorik eller platsdata faller också under rätten till dataportabilitet. Som organisation är du då lagligt skyldig att tillhandahålla uppgifterna i ett "strukturerat, allmänt använt och maskinläsbart" format. Du kan förbereda dig för detta genom att redan fundera på hur du kommer att göra uppgifterna tillgängliga. Till exempel via ett verktyg som gör det möjligt för dina kunder att ladda ner sina data direkt på ett säkert sätt.

Om det är tekniskt möjligt måste den personuppgiftsansvarige vidarebefordra informationen direkt till en annan personuppgiftsansvarig. Detta kan till exempel göras via ett API (Application Programming Interface), vilket möjliggör en koppling mellan ditt system och en applikation och en annan parts.

I i-Reserve sina egna data att ladda ner, för administratören att exportera eller för att data ska vidarebefordras via ett API .

Integritet som standard och integritet genom design
GDPR inför en skyldighet att skydda data genom standardinställningar (Integritet som standard) och genom justerbar funktionalitet (Integritet genom design) i programvaran.

Kravet på integritet som standard innebär att ni måste implementera tekniska och organisatoriska åtgärder för att säkerställa att ni som standard endast behandlar personuppgifter som är nödvändiga för det specifika syfte ni avser att uppnå. Till exempel, där användare själva kan justera sina integritetsinställningar bör de vara inställda på högsta nivå som standard.

Skyldigheten att se till att personuppgifter skyddas genom design innebär att du måste säkerställa att de är skyddade vid utformning av produkter, tjänster och organisatoriska processer.

Exempel:

• När du erbjuder en app, låt inte användare registrera sin plats om det inte är nödvändigt;
• Förkryssa inte rutan "Ja, jag vill ta emot erbjudanden" på webbplatsen;
• Om någon vill prenumerera på ett nyhetsbrev, be inte om mer information än nödvändigt.

Klicka här för att se vad i-Reserve gör för att säkra och skydda personuppgifter.

Säkerheten måste vara i ordning – och förbli så
. Att skydda personuppgifter är avgörande. Utan kryptering, tvåfaktorsautentisering och möjligheten att separera och säkert radera personlig information tar din organisation en betydande risk.

Överträdelser och sanktioner:
Det maximala bötesbeloppet per överträdelse av den nuvarande integritetslagen är för närvarande 900 000 euro. GDPR ger nationella tillsynsmyndigheter större befogenheter att sanktionera överträdelser av GDPR. Böterna är betydande och kan uppgå till 20 miljoner euro eller 4 % av den globala årsomsättningen om en organisation inte följer lagens krav. Böter som åläggs i Nederländerna utfärdas av den utsedda tillsynsmyndigheten: den nederländska dataskyddsmyndigheten (AP).
Letar du efter mer information? Du kan också hitta svar på vanliga frågor på autoriteitpersoonsgegevens.nl.

Kakor, spam, e-post, telemarketing och GDPR
Regler för hantering av elektronisk kommunikation såsom kakor, Wi-Fi-spårning, e-post etc. finns inte i GDPR. Du hittar detta i ePrivacy-direktivet – befintlig europeisk lagstiftning som uppdateras under 2018. EPrivacy-direktivet är även känt som Cookielagen. Europeiska unionen hoppas kunna lansera de uppdaterade reglerna tillsammans med GDPR, för att erbjuda medborgarna mer skydd för sin personliga information i ett svep. Mer generellt anger denna lagtext de regler som organisationer måste följa för att garantera sekretessen för digital kommunikation.