Republic / Artiklar /

Artikeln uppdaterad 2021-04-14.
Skriven av Christofer Sandin.

En guide till GDPR

En sak som troligen inte undgått någon är den nya EU-lagen Global Data Protection Act (GDPR) som trädde i kraft 25 maj 2018. Lagen kallas för allmänna dataskyddsförordningen på svenska. Vi har försökt att sätta oss in i GDPR successivt, både innan den började gälla men även efteråt, och nedan återger vi vår syn på lagen och den data som regleras av den samma.

Vi på Republic är specialister på teknik, design och innehåll. Lagtexten gällande GDPR och de rekommendationer som finns publicerade är inte alltid lätta att förstå. Se nedanstående som någon form av guide. Upptäcks felaktigheter av er läsare, eller av oss själva, kommer nedanstående texter att uppdateras.

För juridiska spörsmål rekommenderas att en jurist kontaktas för att bedöma er specifika situation. Med det sagt, så tror vi följande information är den som är viktigast att ha ordning på.

Vad är GDPR?

Först och främst, GDPR är någonting väldigt positivt då det är en lag som ger alla människor i EU rätt att värna om sina personliga data. Många länder hade redan en liknande lagstiftning, men den har varit svårt att efterleva eftersom den skiljer sig åt från land till land. GDPR gör så att vi har gemensamma riktlinjer för alla 27 medlemsländer i EU.

Sedan innebär lagen en hel del arbete, men i ett stort perspektiv är det ett stort kliv i rätt riktning som gör nytta för oss som individer. Det kan vara bra att ha i bakhuvudet.

Lagens syfte är inte heller att bötfälla så många företag som möjligt utan att se till så att företag arbetar etiskt och transparent med sina kunders personliga data, vilket många tyvärr inte gör idag.

Den potentiella bötessumman, eller administrativa sanktionsavgiften som det heter, på 20 miljoner euro eller fyra procent av den globala omsättning (den summa som är störst av de två) var flitigt förekommande i media och från jurister som vill sälja GDPR-åtgärder inför införandet. Även i de webbinar som vi lyssnat på, som anordnas av revisionsbyråer och konsultfirmor, är det den potentiella boten som det fokuserades på till stor del.

Däremot finns det givetvis även de som får betala, och enligt Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, så har det GDPR-brott resulterat i 150 miljoner i sanktionsavgifter under 2020, så om inte den etiska aspekten är skäl nog så kan kanske bötesbeloppen vara det.

Men, intentionen med lagen är alltså inte primärt att driva in pengar utan att få till en mer ansvarsfull hantering av personuppgifter eftersom den nuvarande praxisen lämnar väldigt mycket att önska. Ju mer man vet, desto mer inser man även att det behövs.

De två viktigaste riktlinjerna att ha med sig när man fattar beslut är:

• Samla in så lite persondata som möjligt från enskilda individer
• Var transparent med vad som samlas in och varför

Vad reglerar lagen i praktiken?

För er som inte orkar läsa hela lagtexten, vilket även inkluderar oss, så kan man i huvuddrag säga att lagen dikterar följande tre saker för alla EU-medborgare:

• “Right To Access”
• “Right to Data Portability”
• “Right To Be Forgotten”

Vilket generellt brukar sammanfattas med följande punkter:

• Individer har rätt att veta vilken data som samlas in och sparas
• Individer har rätt att veta varför data samlas in och sparas
• Individer måste aktivt ge sin tillåtelse att det är ok att samla in denna data
• Individer har rätt att redigera sina personuppgifter
• Individer har rätt att exportera den data som finns sparad om dem
• Individer har rätt att permanent ta bort data som finns sparad om dem

Alla punkter ovan är saker som är bra att ta med redan i planeringsstadiet när man designar eller utvecklar en ny webbplats eller webbtjänst där man har tänkt att spara personlig data på något sätt.

Att redan från början bygga in stöd för att användarna skall kunna redigera, exportera och ta bort sin data från tjänsten på egen hand är alltså inte längre nice to have utan lagkrav om man inte vill hantera det manuellt, så det är lika bra att planera för det direkt.

Olika roller och skyldigheter

Lagen särskiljer även på ansvaret för att se till att ovanstående efterföljs. De två olika rollerna som finns är Data Controllers (som i vårt fall oftast är våra kunder) och Data Processors (vi och andra leverantörer som kunderna använder sig av).

Sedan finns även sub-processors som är de underleverantörer som används, och det är god kutym att vara transparent med vilka tjänster och leverantörer man använder - rimligtvis i en Privacy policy eller liknande dokument.

Integritetsskyddsmyndigheten har en guide för företagare och Tillväxtverket har en guide för småföretagare på verksamt.se – dessa kan vara en bra start för att få en bild över vad som förväntas av er.

Ett personuppgiftsbiträdesavtal behövs för att hantera data

Vi som data processors skall teckna ett personuppgiftsbiträdesavtal, eller ett så kallat Data Processing Addendum (DPA)-avtal, med de Data Controllers (kunder) vi arbetar med där det stipuleras vilka rättigheter och skyldigheter som finns oss emellan.

Personuppgiftsbiträdesavtal behövs för leverantörer som hantera personuppgifter.

Vi har tagit fram ett personuppgiftsbiträdesavtal som vi helst använder oss av gentemot våra kunder. Anledningen är att det inte är hållbart rent kostnadsmässigt för oss som litet bolag att anlita en jurist för varje kundrelation, framförallt när den kostnaden i vissa fall till kan konkurrera med projektbudgeten i storlek…

Det kan även behövas ett dataskyddsombud

I vissa fall måste även en organisation utse ett dataskyddsombud, eller en Data Protection Officer (DPO) som det kallas på engelska, som finns namngiven och som ansvarar för att företaget lever upp till GDPR. Detta gäller framförallt större organisationer samt de organisationer som behandlar stora mängder av personlig data.

Ombudets roll är att kontrollera att dataskyddsförordningen följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser och det är även den här personen som är kontaktperson för myndigheterna.

I Sverige är det alltså Integritetsskyddsmyndigheten, tidigare Datainspektionen, som är den myndighet som ser till att GDPR efterlevs.

Alla individer har rätt till sin data

Alla individer som använder en digital tjänst eller ett digitalt system har rätt till sin egen data, vilket kallas för Data Subject Rights (DSR) på engelska.

I de flesta fall är det absolut enklast att ge individerna möjlighet att både se, redigera och ta bort sina uppgifter på egen hand. Kan man automatisera detta i systemet finns det mycket tid att vinna rent administrativt.

Om de inte kan göra detta på egen hand, har de rätt att skicka in en så kallad DSR request och om det behövs så måste det vara tydligt vem man skall kontakta. Lagen säger då att du som ansvarig måste ta bort all personlig data inom 30 dagar från det att en individ begär det. Finns det inte verktyg där detta går att göra på egen hand, så måste alltså en manuell process för detta finnas på plats.

Ansvar för hur data lagras och skyldighet att rapportera eventuella läckor

Från vår synvinkel är det varje kund (Data Controller) och deras respektive hostingbolag som kommer att ha det största ansvaret för att webbsidan/e-handelslösningen/systemet lever upp till de krav som GDPR sätter gällande lagring.

Hostingbolaget har ansvar eftersom det är de som sparar och lagrar informationen och kunden har ansvar eftersom det är de som samlar in data och nyttjar den i verksamheten. Det är även upp till hostingbolaget att se till så att lagring och säkerhet lever upp till överenskommen standard, men även att rapportera eventuella läckor av uppgifter till berörda personer, i samarbete med kunden, och till myndighet inom lagstiftade tidsintervall om så sker.

Det ligger även på kunden att se till så att insamlad data inte används för något annat syfte än vad den samlats in för, då det inte är tillåtet att samla in data för ett ändamål och sedan använda den för något helt annat. Då gäller inte individens godkännande längre.

Vi är självklart behjälpliga med att göra allt vad vi kan för att både designa och utveckla digitala tjänster och system som lever upp till den allmänna dataskyddsförordningen och vi delar gärna med oss av det vi vet. Vi försöker även informera våra kunder om vi tror att de kan ha missat något. För att lösa den här typen av situationer på bästa sätt så krävs alltid ett samarbete mellan kunden och alla deras leverantörer, och eftersom vi alla delar på ansvaret i en eller annan form finns det inget annat sätt att hantera GDPR på.

I vilket land sparas personlig data?

Även frågan om vart uppgifterna sparas rent geografiskt är uppe för diskussion, vi försöker att alltid använda oss av servrar i EU för att underlätta för både våra kunder och oss själva. Men så gott som alla använder andra tjänster som i sin tur sparar data i bl.a. USA.

Tidigare kunde bolag ansluta sig till en överenskommelse mellan USA och EU som kallades för Privacy Shield och då kunde data delas mellan bolag i EU och USA. Men EU-domstolen har nyligen rivit upp det beslutet och därför är det fortfarande lite oklart vad som gäller. Här är två artiklar som IMY har skrivit på ämnet:

• Integritetsskyddsmyndigheten granskar överföring av personuppgifter till tredje land
• Så här påverkar Schrems II-domen överföringar till tredje land

Funderingar

Sedan är det mycket som fortfarande är oklart. Vissa saker är framförallt väldigt kluriga rent tekniskt, även om man har de godaste intentionerna i världen.

Ta exempelvis en backup? Om en användare varit kund under 12 månader och sedan vill bli borttagen från kundregisteret - hur gör man då med de backuper som finns? Om det finns en backup på datan för varje dag de senaste 12 månaderna, måste man då gå igenom dessa och radera uppgifterna i alla instanser eller räcker det med att radera datan och låta dessa backuper sedan fasas ut successivt. Som sagt, det vet jag inte idag.

Det finns säkert även fall där vi är skyldiga att ta ansvar för den data som sparas, vad säger lagen om vi exempelvis har en utvecklingsserver som vi äger där vi testar saker men där det samtidigt kan finnas, om än gammal, ändå någon form av kunddata.

Eller vad händer om vi arbetar med projekt på våra datorer? Även om vi strävar efter att arbeta på ett så bra sätt som möjligt är det i princip ofrånkomligt att vi kommer komma i kontakt med kunddata på ett eller annat sätt då och då.

Den här typen av frågor försöker vi så klart reda ut för vår skull, men givetvis även då indirekt för våra kunder.

Slutligen, om du som läser detta är någon som sitter inne på GDPR-kompetens och hittar felaktigheter i texten ovan får du gärna kontakta oss och på ett trevligt och konkret sätt påpeka eventuella felaktigheter underbyggt med fakta och referenser, så skall vi göra vårt bästa för uppdatera texten.

Vad behöver göras på er webbplats?

Detta är givetvis svårt att svara på generellt, men det första som behövs göras är att lista ut vilka personuppgifter, om några, som hanteras.

När det är gjort finns det vissa saker som gäller för alla som samlar in persondata på webben:

• Se till att ni inte samlar in mer personlig data än vad som behövs
• Se till att ni är transparenta med varför specifik data samlas in i samband med att ni ber kunderna om den
• Rensa bort gammal data, har ni kunddata senast uppdaterad 1998 så är den troligen inte aktuell längre utan kan tas bort.
• Se till så att kunden själv väljer att dela med sig av sin data.
• Se till att ni inte använder insamlad data till något annat än ni sagt att ni skall göra.
• Se till så att kunder kan utnyttja sin Right To Access, Right to Data Portability samt Right To Be Forgotten på ett bra sätt.
• Anonymisera data ni inte behöver så som IP-adresser (ett klassiskt exempel är Google Analytics som i många fall gör precis lika mycket nytta med anonym data).
• Se till så att ni talar om vilka tredjepartstjänster ni använder er av i en Privacy policy.
• Se till så det finns kontaktinformation till er Data Protection Officer eller åtminstone ett tydligt sätt att nå er för en förfrågan.

Välj bort tjänster som sparar personlig data

Det absolut enklaste sättet att leva upp till GDPR är att inte samla in personlig data . Det finns alternativ till Google Analytics och YouTube om ni vill använda tjänster som inte samlar in personlig data istället.

Det finns många bra alternativ!

Vi förstår såklart att detta kanske inte alltid är en möjlig lösning, men i många fall kan man åtminstone minimera sin datainsamling genom att aktivt välja att använda tjänster som har fokus på att inte samla in mer data än nödvändigt.

Nyhetsbrev

En av de svåraste bitarna är inte själva webbplatsen utan snarare era register med e-postadresser för nyhetsbrev och andra reklamutskick.

När GDPR introducerades under 2018 haglade det in brev från företag som bad oss att antingen bekräfta att vi vill ha deras utskick eller gav oss möjlighet att se över våra inställningar. I de allra flesta fall beror det på att de inte samlat in e-postadressen på ett seriöst sätt från första början… Följande citat säger det riktigt bra:

Check your mailing list—it’s a common misconception that GDPR means wiping your mailing list and asking people to resubscribe. This is not necessarily the case—if you’ve been building it ethically it may already be compliant; if you have explicit consent to retain an email address for everything you use it for (such as marketing) the user’s consent was opt-in and not assumed, you have a timestamp recording the time of the consent, the email address was not required as part of a transaction (as payment for a ‘free’ PDF for example), and there is a mechanism to withdraw consent, then you may be legitimately able to keep that address in your database. Some companies will find that it is less onerous to wipe their mailing list and start again, even if they could demonstrate proper consent. – Paddi MacDonnell

Om ni använder en seriös tjänst som inkluderar möjligheten att enkelt ”avprenumerera” samt att ni samlat in adresserna för det syfte de används för, så borde det inte vara några problem alls. Har ni köpt in adresser eller ”fulat” in gamla adresser kanske ni bör tänka igenom allt en gång till…

Exempel på vanliga upplägg som inte längre håller måttet

Det finns en del sätt som tidigare använts för att komma runt vissa lagar och förordningar, men följande ganska vanliga exempel kommer alltså inte hålla måttet längre vid en granskning:

• En redan kryssad ruta som säger ”Jag vill ha ert nyhetsbrev” håller inte längre, utan låt kunden kryssa i rutorna själv.
• Krångliga formuleringar som gör det svårt att förstå vad som menas håller inte, skriv tydligt och enkelt.
• Vårdnadshavare måste ge tillåtelse för barn under 16 år, och detta måste beskrivas och talas om på ett sätt som är enkelt att förstå för både barn och vuxna.
• Generella formuleringar som klumpar ihop en rad saker så som ”By visiting this site you agree…” kommer inte vara tillräckliga längre, utan kunden måste informeras och kunna välja vid varje tillfälle ni samlar in data.

Vilka dela ar webbplatsen är viktigast att granska?

GDPR gäller alltså när man samlar in personlig data, inte när man publicerar den, så de delar av en webbplats som är viktigast att granska är troligen:

• Formulär
• Cookies
• Nyhetsbrev
• Kundhantering

Hur gör de leverantörer Republic använder?

För vår del så använder vi några tredjepartstjänster för att leverera våra tjänster och vår service till våra kunder. Här är en lista på ett par av dessa och deras guider och tips för att leva upp till GDPR:

Vi försöker välja leverantörer som är transparenta och har intentioner att hantera personuppgifter på rätt sätt.

• Craft CMS & Craft Commerce
  Content management- och e-handelssystem
  GDPR: What You Need to Know | Craft CMS

• Fathom Analytics
  För att samla in icke-personlig statistik om besökare
  Privacy law compliance | Fathom Analytics 

• Postmark
  För att skicka e-post från CM-system så som ”glömt lösenord”, kvitton och liknande e-post
  EU Data Protection | Postmark

• Campaign Monitor
  För att skicka nyhetsbrev via e-post
  GDPR overview and best practices | Campaign Monitor

Förutom de ovan är det många av våra kunder som använder andra liknande tjänster, så som:

• MailChimp
  För att skicka nyhetsbrev via e-post
  About the General Data Protection Regulation | MailChimp

• Google Analytics
  Statistik över besökare, mål och annonsering
  IP Anonymization in Analytics - Analytics Help

Referenser

Hur som helst, har ni orkat er ända hit ner så hoppas jag att ni uppskattat innehållet. Återigen är det inga juridiska råd men det är åtminstone många timmars artikelläsning och funderande bakom texten, så se det som någon form av guide.

Vill ni ta en diskussion om er specifika situation får ni gärna höra av er.

Artiklar

• Dataskyddsförordningen (GDPR) – Integritetsskyddsmyndigheten
• General Data Protection Regulation (GDPR) – Final text neatly arranged
• Guide to the General Data Protection Regulation (GDPR) – ICO
• General Data Protection Regulation – Wikipedia
• State Of GDPR In 2021: Key Updates And What They Mean – Smashing Magazine
• State Of GDPR In 2021: Cookie Consent For Designers And Developers – Smashing Magazine 
• GDPR: How small companies can get ready for it (and why you can’t just ignore it) – Postmark
• GDPR: What It Is, How It Affects You, and What We’re Doing to Help – Campaign Monitor
• How to Survive GDPR: The Essential Guide to the Web’s New Privacy Regulations – Webdesigner Depot

Podcasts

• What the EU’s GDPR Means to Web Developers – devMode.fm

Exempel på Data Processing Addendum

• EU Data Protection – Postmark