GDPR öppnar för bättre kundvård
I vår blir det nya regler för hur personuppgifter ska hanteras.
För företaget gäller det att bli mer noggrant hur man samlar in och sparar personuppgifter.
Men den nya lagen kan också bli en skjuts till effektivare och mer lönsam kundvård.
Genom den nya dataskyddslagen vill EU åstadkomma en konkurrensneutral spelplan med samma regler i samtliga medlemsländer och stärka individens integritet.
EU hoppas att den nya lagen ska bidra till att öka konsumenternas förtroende för företagens insamling av personuppgifter och därmed stimulera handel och sunda relationer mellan företag och kund.
Alla företag som samlar, lagrar och använder personuppgifter med stöd av automatisk databehandling, måste följa den nya lagen. GDPR, General Data Protection Regulation som börjar gälla den 25 maj.
Försiktig hantering
Genom den nya lagen stärks integritetsskyddet för kunden. Företaget måste därför bli mer försiktigt i hanteringen av personuppgifter och i ännu större utsträckning än idag låta kunden och andra enskilda personer, ge sitt godkännande för hur en personuppgift får användas och lagras. Den nya lagen omfattar även personuppgifter om leverantörer och medarbetare.
GDPR innebär att företaget vid insamling av personuppgifter ska tänka på följande:
* att informera kunden om vilket företag som samlar in uppgifterna.
* att berätta om hur länge uppgifterna kommer att sparas.
* att berätta varför och för vilken användning uppgifterna samlas in.
* att inte samla in fler personuppgifter än nödvändigt.
* att bara samla in uppgifter för ett specifikt ändamål.
* att radera personuppgifterna när de inte länge behövs.
* att det blir tuffare böter för den som bryter mot GDPR.
* att företaget är skyldigt att göra juridiska överenskommelser om begränsning av
användning av personuppgifter med affärspartner i land utanför EU.
*att informera om insamlade uppgifter kommer att skickas vidare till andra.
Krav på extra skydd
Personuppgifter, exempelvis namn och leveransadress, krävs för att uppfylla ett avtal med en kund kräver inte kundens medgivande.
Men så fort ett företag ber en person om att lämna personuppgifter, exempelvis till ett kundregister eller för att få ett nyhetsbrev, så måste personen upplysas om, mer specifikt än idag, vad uppgifterna ska användas till. Vill företaget till exempel spara uppgifter om kundens köp av produkter eller tjänster för att kunna återkomma med framtida skräddarsydda erbjudanden, måste kunden lämna samtycke om detta.
Registrering av känsliga personuppgifter som kan handla om en persons hälsa, ras, sexuell läggning, religiös tillhörighet eller politisk tillhörighet, måste vara relevanta för relationen mellan företag och kund annars får de inte registreras. För lagring och hantering av dessa uppgifter måste kunden lämna sitt uttryckliga samtycke.
Den nya lagen kräver även stärkt skydd för genetiska och biometriska uppgifter. Uppgifter som klassas som känsliga kräver extra skydd av lagringsplats för att motverka intrång i ett register.
Förteckning
Alla företag som samlar in personuppgifter är skyldiga att dokumentera och upprätta en beskrivning hur man hanterar personuppgifter. Inom företaget måste någon utses som ansvarig för hanteringen av personuppgifter.
En förteckning ska innehålla:
*Kontaktuppgifter till ansvarig för hantering av personuppgifter.
*Vad uppgifterna ska användas till.
*Vilken kategori det handlar om, exempelvis kunder.
*Tidsgräns för hur länge uppgifterna sparas innan de tas bort.
*Information om uppgifterna lämnas till någon i ett annat land eller till annan
organisation.
*Beskrivning av säkerhetsåtgärder för att skydda materialet mot intrång.
Denna förteckning måste uppdateras om avsikten för insamling av personuppgifter
ändras.
Sanktioner
Liksom tidigare ska insamlade personuppgifter hanteras på ett säkert och skyddat sätt för att förhindra intrång och stöld. Enligt GDPR ska en incident som till exempel innebär att personuppgifter riskerar att hamna hos obehörig, rapporteras till Datainspektionen inom 72 timmar efter upptäckt. De personer vars uppgifter kan ha utsatts för dataintrång ska också informeras.
Bötesbeloppen för brott mot GDPR är upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen för en verksamhet.
För ett mindre företag handlar det i första hand om att riskera en varning, därefter en reprimand och i nästa steg indragen rätt att behandla personuppgifter.
Kundvård
För det mindre företaget kan det vara bra att börja med att kolla vilka personuppgifter som finns sparade på olika sätt i verksamheten.
- Mitt tips är att så fort som möjligt göra en bedömning hur det egna företaget påverkas av GDPR och göra nödvändiga förändringar. Ta även vara på tillfället och rensa register och fundera ut effektiva metoder för att använda sparade uppgifter på ett så bra och affärsmässigt sätt som möjligt, säger Karin Berggren, chefjurist på Företagarna.
Kartläggning
Hur ska det mindre företaget, till exempel en butik, agera för att enkelt anpassas sig till GDPR?
- För våra medlemmar gäller det att börja med att göra en kartläggning av hur man hanterar personuppgifter. Ett tips för att bilda sig en uppfattning om GDPR och dess omfattning är att gå in på myndighetssajten, verksamt.se, berättar Susanne Ankarkrans, administratör på branschorganisationen Convenience Stores Sweden.
JOHAN ERICHS