Så påverkar EU:s nya dataskyddsförordning dig

Peter Jacobson

Den 25 maj 2018 är det i princip julafton, för då träder nämligen EU:s nya dataskyddsförordning i kraft. Och vem gillar inte processer och rutiner för hantering av personuppgifter? Vi går igenom förändringarna nedan och vad du behöver ha koll på i ditt arbete med er sajt.

Dataskyddsförordningen kommer ersätta den nuvarande svenska personuppgiftslagen (PUL) vilket säkert kan sätta griller i huvudet hos de flesta eftersom alla företag behandlar personuppgifter om sina kunder på ett eller annat sätt.

Du kan också läsa om hur förändringarna påverkar er i den här artikeln från Computer Sweden.

Ok, så vad kommer vi att beröra i den här posten?

  • Hur dataskyddsförordningen påverkar din sajt ur ett CRO-perspektiv.
  • Kommer den att ha någon inverkan på vilket sätt vi använder analysprogram som exempelvis Google Analytics?
  • Kommer besökare uppleva pop-ups som kräver samtycke efter samtycke innan vi kommer åt webbplatsen?
  • Vad ska tänkas på när det gäller samtycke och lagring?

Förhoppningsvis ska det inte behöva bli så farligt, men det är bäst att vi försöker reda ut vad förändringarna kommer att innebära för din webbplats.

Vi kommer i denna post inte beröra UX-perspektiv, eller typ svara på ”hur du lämpligen efterfrågar samtycke ur ett CRO-perspektiv” – I denna post fokuserar vi på de förändringar den nya lagen medför och vad du i detta skede bör ha koll på.

Redan idag är det flera sajter informerar om cookies, i vissa fall också ber dig att acceptera lagring:
PUL dataskyddslag

De stora förändringarna som sker 25 maj 2018.

Det finns flera stora skillnader mot nuvarande personuppgiftslag (PUL). Ett viktig skillnad är att det tydligare måste anges i vilket syfte personuppgifter samlas in. Kraven ökar för den som är personuppgiftsansvarig, exempelvis ska hen, genom dokumenterade rutiner, visa att lagen följs.

Men den kanske största skillnaden, som flest reagerar på, är risken att bli bötfälld. Ganska rejält till och med, upp till 20 miljoner euro eller 4% av organisationens omsättning.

Bötesrisken gör nu att lagen får mer tyngd, i PUL så finns det redan liknande bestämmelser om att samtycke i vissa fall krävs för behandling av personuppgifter, men de som har brutit mot den har vanligtvis på sin höjd fått en tillsägelse.

Vad klassas som personuppgifter?

Vad räknas då som en personuppgift? Jo, det är varje upplysning som avser en identifierad eller identifierbar fysisk person. Detta gäller oavsett om informationen är krypterad eller inte.

Detta bör falla inom ramen för vad som klassas som personuppgifter:

  • E-postadresser (även om det är en företagsadress som innehåller namn)
  • IP-adresser (om det inte gäller IP-adresser kopplade till en dator i offentlig miljö)
  • Fysiska adresser
  • Bilregistreringsnummer
  • Bilder

Personuppgifter PUL
För lagring så ställs krav att den personuppgiftsansvarige ska ”vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken”.

Dessutom ska det råda ”Privacy by design”, vilket innebär att det finns uppsatta rutiner för vem som har behörighet till datan, säkerhet (kryptering, säkerhetskopiering, loggar och sätt för säker radering), rutiner för automatisk radering av uppgifter som inte behövs samt möjliggörande av utlämning av information till de registrerade.

Hur ska du hämta in samtycke för att lagra personuppgifter?

Enligt den nya lagen är samtycke ”Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken registrerade, antingen genom ett uttalande eller genom en entydig bekräftande behandling, godtar behandling av personuppgifter”. Dessutom ska man som individ kunna återkalla sitt samtycke lika enkelt som det getts. Tänk därför på att ha en rutin för att radera uppgifter om samtycket återkallas.

Samtycke krävs inte alltid, det kan finnas andra lagliga grunder för att behandla personuppgifter, exempelvis om detta görs för att det är nödvändigt på grund av ett avtal med den registrerade. Till exempel får ett företag som säljer kläder på nätet spara de personuppgifter som är nödvändiga i ett kundförhållande – men bara så länge som det går att motivera att ett sådant finns.

För att vara på den säkra sidan. Kolla med Datainspektionen eller en advokatbyrå specialiserad på den här typen av frågor.

Gäller förordningen även kakor?

CookiesNja, bara i de fall där det på något sätt kan inhämtas personuppgifter via kakan, i så fall krävs ett aktivt samtycke innan det görs. Däremot har EU nu även kommit med ett förslag om nya regler till behandling av kakor, genom förslag till nytt e-privacy-direktiv. Enligt förslaget ska samtycke inte behövas t.ex. för att mäta statistik eller för att hantera en varukorg vid e-handel, och det ska dessutom bli enklare att ge sitt samtycke – just för att slippa alla dessa pop-ups.

Här kan du läsa pressmeddelandet från Europeiska komissionen om kakor, förslaget har inte blivit antaget än men väntas bli det i samband med att förordningen träder i kraft i maj nästa år.

Hur påverkar det Google Analytics?

Som det nämndes i stycket innan så kommer antagligen inte Google Analytics (eller andra analysprogram) att påverkas alls. Men se till så att ni inte skickar in personuppgifter i URL:erna på exempelvis inloggade sidor – för då blir Google ofrivilligt ombud för de personuppgifter ni lagrar.

parametrar i GA

Det kan även förkomma, om ni använder Hotjar och funktionen screen recording, att kunderna fyller i personuppgifter som sedan sparas i inspelningen – se i så fall till i förväg att de fält som kan fyllas  är anonymiserade (det gör du under inställningar).

Så vad landar vi i?

Ur ett CRO-perspektiv så verkar det inte som att förordningen kommer att sätta käppar i hjulet – tvärtom. Tillsammans med e-privacy-direktivet verkar det faktiskt bli bättre. Vi måste bara avvakta tills det senare klubbas igenom.

Men det ni som företag/organisation ska tänka på är istället vilka uppgifter ni lagrar om era kunder/prospects, kan ni motivera varför ni lagrar dem och har ni samtycke för det? Se även till att ni har en personuppgiftsansvarig och att denne har rätt utbildning för att kunna hantera de ökade säkerhetskraven. Om ni är osäkra på hur det ska ske så har Datainspektionen förberett en omfattande lathund för er, ni hittar den här.

Lycka till med förberedelserna!

Läs även