Allmän dataskydd

Vad är GDPR?

Grunderna i GDPR

Den allmänna dataskyddsförordningen (GDPR) är ett nytt rättsligt ramverk som ersätter EU:s dataskyddsdirektiv och är tillämpbart från och den 25 maj 2018. Syftet med GDPR är att utöka integritetsskyddet för EU-medborgare genom att reglera hur organisationer hanterar och skyddar personuppgifter tillhörande EU-medborgare, oavsett varifrån uppgifterna hämtas, vart de överförs och hur de hanteras eller lagras 

GDPR innehåller många ändringar gentemot den tidigare lagstiftningen som påverkar hur personuppgifter inom EU ska hanteras och kan påverka många avdelningar inom en organisation oavsett var i världen den befinner sig. Lagen förväntas påverka alla organisationer som hanterar personuppgifter från EU inom sin verksamhet eller å andra verksamheters vägnar, såväl som leverantörer och andra tredje parter som hanterar personuppgifter från EU till förmån för olika organisationer.

Vad innefattar GDPR?

GDPR ger individer vissa specifika rättigheter att kontrollera sina personuppgifter. GDPR kräver även transparens avseende hur organisationer använder personuppgifter och innefattar säkerhetskrav och andra kontrollåtgärder beträffande personuppgifters säkerhet.

Vilka påverkas av GDPR?

Kraven i GDPR gäller alla organisationer som hanterar EU-medborgares personuppgifter. Kraven kan även gälla tredje parter och andra leverantörer som en organisation använder sig av för att hantera personuppgifter.

Kommer GDPR att påverka organisationer utanför EU?

GDPR har effekt även utanför EU. Det kan påverka organisationer oavsett var de befinner sig i världen om organisationen samlar in, tar emot, hanterar eller sparar EU-medborgares personuppgifter. Förordningen är av vikt för alla organisationer utanför EU som samlar in eller tar emot EU-medborgares personuppgifter.

Vilka är nyckelprinciperna i GDPR?

Syftet med GDPR är att stärka individers befintliga rättigheter, införa nya rättigheter och ge EU-medborgare större kontroll över sina personuppgifter. Nyckelprinciperna i GDPR är att:

• kräva transparens avseende hantering av personuppgifter
• begränsa hantering av personuppgifter till specifika och legitima ändamål
• begränsa insamling och lagring av personuppgifter till specifika ändamål
• möjliggöra för individer att i vissa situationer kunna begära: åtkomst till, rättelse av, radering av (”right to be forgotten”) och överföring av sina personuppgifter till tredje part, samt begära begränsning av eller göra invändningar mot hantering av deras personuppgifter
• vidta rimliga säkerhetsåtgärder för att skydda personuppgifter
• begränsa tidsperioden för lagring av personuppgifter till endast så lång tid som krävs för det specifika ändamålet

Vad innebär principerna i GDPR för min verksamhet?

EU-medborgare har, bland annat, rätt att veta om och hur deras personuppgifter hanteras, används, delas och sparas. Individer kan även ha andra rättigheter, såsom att kunna få tillgång till sina personuppgifter. När man svarar på sådana förfrågningar ska informationen tillhandahållas till individen på ett sätt som är tydligt och förståeligt.

Individer har också rätt att begära rättelse eller radering av sina personuppgifter. Om en person inte längre vill att en organisation hanterar dennes personuppgifter och organisationen inte har något stöd i lagen för att behålla dem ska uppgifterna raderas.

GDPR ger även EU-medborgare rätt att veta om det har skett något intrång i deras personuppgifter. GDPR kräver att organisationer informerar både individer och relevanta datatillsynsmyndigheter om dataintrång av hög risk sker.

Terminologi i GDPR

Det finns flera termer i GDPR som du kanske inte känner till eller som är lite otydliga. Här försöker vi förenkla dem.

Personuppgifter: Personuppgifter är kärnan i GDPR, och definitionen av personuppgifter är bred. Exempel på personuppgifter är namn, e-postadress, telefonnummer, fysisk adress, information som kan identifiera enheter såsom IP-adress och geolokaliseringsinformation, information om hälsa, information om ekonomi, ålder, födelsedatum m.m. Även om uppgifter som namn och e-postadress kan vara offentliga genom sökning eller finnas i offentliga register anses de vara personuppgifter som ska skyddas under GDPR. Om man i en organisation är osäker på om uppgifter som har att göra med en person eller en persons enhet är personuppgifter eller inte, ska man utgå ifrån att de är det.

Personuppgiftsansvarig: Till personuppgiftsansvarig räknas den organisation som beslutar om hur och för vilka syften personuppgifter samlas in, används, hanteras, lämnas ut och lagras. Om ett företag till exempel samlar in personuppgifter direkt från en individ, eller tar emot personuppgifter från en tredje part som samlat in dem å företagets vägnar, räknas företaget som personuppgiftsansvarig.

Hantering: Hantering innebär både manuella och automatiserade åtgärder som genomförs och som innefattar personuppgifter. Det innefattar insamling, lagring, strukturering, anpassning, lagring, ändring, hämtning, tillsyn, användning, utlämning genom överföring, spridning eller annan slags tillgängliggörande, inordning eller integration, begränsning, radering eller destruktion av personuppgifter. Nästan allt som görs med personuppgifter räknas som hantering.

Registerförare: Till registerförare räknas den organisation som hanterar (t.ex. samlar in, lagrar, använder eller lämnar ut) personuppgifter å den personuppgiftsansvariges vägnar och enligt dess instruktioner.

Vad behöver jag tänka på när det kommer till GDPR?

Det är viktigt att göra rätt val av system och programvaror för att kunna uppfylla kraven i GDPR, och sådana system bör ingå i införandet av kraftfull, organisationsövergripande metod för efterlevnad av GDPR. Mycket av det som krävs för att följa bestämmelserna i GDPR är processrelaterat, och organisationer bör ha följande aspekter i åtanke:

• identifiera vilka personuppgifter organisationen har och var de är lagrade
• implementera kraftfull styrning av hur personuppgifter används och vilka som har åtkomst till dem
• etablera lämpliga säkerhetsåtgärder för att förebygga, upptäcka och åtgärda osäkra punkter och potentiella säkerhetsintrång
• besvara förfrågningar från individer som vill åberopa sina rättigheter avseende dataskydd (t.ex. förfrågningar om att tillhandahålla en kopia av deras personuppgifter)
• upprätthålla dokumentation om efterlevnad, inklusive dokument om hanteringsaktiviteter och svar på förfrågningar från individer
• rapportera säkerhetsintrång inom rimlig tid, vilket är ett lagstadgat krav

Hur kan Epicor hjälpa min organisation att följa GDPR?

Dataskydd och integritet är viktiga för Epicor, både i sig själva och gentemot våra kunder runtom i världen. Precis som andra lagstadgade krav tar Epicor sin roll som personuppgiftsansvarig och registerförare på allvar.

Efterlevnad av GDPR är Epicors och våra kunders gemensamma ansvar. Epicors produkter och tjänster som hanterar personuppgifter kan hjälpa din organisation att efterleva GDPR. Till exempel har våra produkter och tjänster funktioner som hjälper individer med förfrågningar avseende deras rättigheter. Våra produkter och tjänster, inklusive lösningar på plats hos Epicor, innefattar säkerhetsåtgärder och åtkomstkontroller. Organisationer kan integrera funktioner och processer i Epicors produkter och tjänster för att uppfylla kraven i GDPR.

Epicor stävar efter att hjälpa kunder att följa olika slags krav inom deras verksamheter, inklusive GDPR. Epicor bevakar kontinuerligt lagändringar och bästa praxis för att kunna förbättra våra produkter, avtal och dokument i syfte att hjälpa våra kunder att följa lagstadgade krav, inklusive GDPR.