GDPR

Vad är GDPR?

General Data Protection Regulation (GDPR), eller dataskyddsförordningen som den kallas i Sverige, är en större reform av hur man får behandla personuppgifter. Lagen bygger vidare på och ersätter personuppgiftslagen (PUL). Till skillnad från PUL, som infördes på 90-talet, så är GDPR framtagen med internet och de utmaningar som det skapar i åtanke.

Den nya lagen träder i kraft den 25 Maj 2018 och kommer att definiera ansvarsområden för alla entiteter, oavsett var de är lokaliserade geografiskt, som hanterar EU-medborgares personuppgifter. Den utökar också avsevärt de rättigheter som EU- och EEA-medborgare har att bestämma vem som får lagra våra personuppgifter och vad de får göra med uppgifterna.

Transparens är en av grundpelarna i GDPR. I korthet så kan man säga att ingen har rätt att lagra eller hantera våra personuppgifter utan vår vetskap och samtycke, med undantag för några tydligt definierade fall.

GDPR lägger stor vikt vid hur företag lagrar och hanterar personuppgifter, därtill måste alla företag inte bara följa lagen utan aktivt bevisa hur de gör det. Allvarliga brott mot GDPR kan straffas med böter på upp till 20 miljoner euro eller 4% av företagets globala omsättning, beroende på vilket som är högst.

Vad kommer förändras?

Terminologi

Den registrerade - en person vars personuppgifter hanteras av en personuppgiftsansvarig eller ett personuppgiftsbiträde.

Personuppgiftsansvarig - en fysisk eller juridisk person, t.ex. företag eller myndighet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. T.ex. är ett företag som håller en databas på e-postadresser i marknadsföringssyfte en personuppgiftsansvarig.

Personuppgiftsbiträde - en fysisk eller juridisk person, t.ex. företag eller myndighet som behandlar personuppgifter för den personuppgiftsansvariges räkning. Exempelvis skulle det kunna vara en Marketing Automation plattform som skickar e-post åt ett annat företag.

Vad är personuppgifter?

GDPR gäller “personuppgifter”, vilket innefattar alla uppgifter som direkt eller indirekt kan identifiera en person.

Den här definitionen tillåter en väldigt bred tolkning på vad som kan vara en personuppgift, men exempelvis kan det vara namn, personnummer, adresser, nätalias, IP-adresser, m.m. Syftet är att kunna anpassa sig efter de teknologiska förändringar och sätt på vilka företag samlar uppgifter om sina kunder.

Vad för typ av rättigheter ger GDPR EU-medborgare?

Rätt till information

Individer har alltid rätten att bli informerade om när deras personuppgifter samlas in och används. Det här är ett av de grundläggande kraven på transparens inom GDPR.

Vid det tillfälle du samlar in den registrerades uppgifter så måste du berätta för personen varför du samlar in uppgifterna, hur länge du planerar att behålla uppgifterna och vem du kommer dela uppgifterna med.

Samtycke

GDPR har strikta krav för vad som kan räknas som samtycke när en person ger ut sina personuppgifter. Kraven börjar gälla när en person t.ex ger sin e-postadress till ett företag via ett formulär på deras hemsida, i syftet att ta emot marknadsföring via e-post från företaget.

GDPR understryker att samtycket måste vara:

Frivilligt

Samtycket kommer inte anses vara frivilligt om personen inte kan neka eller ångra sitt samtycke utan konsekvenser. T.ex. så skulle inte ett företag som begär ut personuppgifter av sina anställda uppfylla det här kravet på grund av relationen dem emellan.

Specifikt

Var specifik och granulär, så att du får olika samtycken för olika saker. Ett vagt eller allmänt samtycke räcker inte.

Informerat

Samtycket kan endast ges efter att den registrerade har fått information om personuppgiftsbehandlingen, se “Rätt till information” ovan.

Entydigt

Samtycke kräver ett aktivt val, där det är tydligt vad detta innebär för den registrerade. Använd inte t.ex. förifyllda checkboxar eller så kallade “Browse-wrap agreements”.

Samtycke innebär att man ger personen ett riktigt val och inflytande över sitt val. Verkligt samtycke sätter individen främst och bygger en tillit och ett engagemang mellan dig och individen. Samtidigt kan ett verkligt samtycke ha en positiv inverkan på ditt rykte.

Rätt till radering

GDPR ger rätten till individer att få sina personuppgifter raderade från era system och databaser. En person kan göra sin begäran antingen muntligt eller skriftligt, varefter den personuppgiftsansvarige sedan har en månad på sig att besvara den registrerades begäran.

De registrerades övriga rättigheter

GDPR ger EU- och EEA-medborgare ett antal rättigheter de kan utöva. Vi har alla rätten att veta vem som har tillgång till våra personuppgifter och varför. För att en personuppgiftsansvarig ska följa GDPR, krävs bland annat att denne främjar möjligheten för registrerade att utöva dessa rättigheter. Förutom de rättigheter vi redan nämnt, har de registrerade även rätt att:

  • • begära ut en kopia av sina personuppgifter i ett portabelt format, utan kostnad
  • • att få felaktiga uppgifter rättade eller kompletterade ifall de är ofullständiga
  • • begränsa vilken typ av uppgifter som kan lagras eller behandlas
  • • återkalla sitt samtycke när som helst
  • • begränsa hur personuppgifterna kan behandlas
  • • tydligt informeras om alla dessa rättigheter
Samtidigt är personuppgiftsansvariga skyldiga att:
  • • göra det lika enkelt för den registrerade att återkalla sitt samtycke som det är att ge det
  • • ta alla rimliga åtgärder för att verifiera identiteten hos den registrerade som gör den här typen av förfrågningar
  • • besvara och utföra dessa förfrågningar utan dröjsmål
  • • ta bort personuppgifter så fort syftet för att uppgifterna samlades in inte längre existerar (utan att den registrerade behöver begära det)
  • • se till att alla personuppgiftsbiträden man väljer att samarbeta med följer GDPR och på ett säkert sätt hanterar personuppgifterna de ska behandla

Fakturan och GDPR

Lokala bokförings- och skattelagar går före GDPR, vilket betyder att du fortfarande kan skicka fakturor precis som tidigare. Det här betyder inte bara att fakturan fortfarande kommer att ha en enorm potential som kommunikationskanal även efter GDPR börjar gälla, utan också att den kommer bli din enda kommunikationskanal till en ännu större majoritet av dina kunder.

På Billogram transformerar vi fakturan från ett statiskt transaktionsdokument till en relationsbyggande mötesplats för dig och din kund. Det innebär att fakturan inte bara kan nyttjas som kommunikationskanal, utan faktiskt kan bidra med värde för din kund och dennes upplevelse av er som leverantör.

Fakturan är sanningens minut för din kundupplevelse. Här utvärderar kunden det värde ni som leverantör lyckats leverera och ställer det mot det pris som nu ska betalas. Därför blir det ännu viktigare att vid betalningstillfället bidra med värde och påminna om det värde som redan har levererats.

Till skillnad från statiska format som papper och PDF, så blir Billograms interaktiva webbfaktura mycket mer än bara en kravspecifikation. Läs mer om hur Billogram kan hjälpa er skapa bestående och meningsfulla relationer med era kunder här.