Observera att det här inlägget inte ger  juridiska råd utan endast är våra gissningar kring hur GDPR och ePrivacy Regulation kan komma att påverka våra webbplatser. Det är viktigt att vara kritisk till vad olika aktörer skriver om GDPR och ePrivacy Regulation.

Dataskyddsförordningen (eller General Data Protection Regulation - GDPR) är en förordning från EU som reglerar hur personuppgifter får behandlas. Förordningen är beslutad av EU och börjar gälla den 25 maj 2018. Den ersätter personuppgiftslagen, men det finns vissa skillnader. GDPR påverkar alla delar av organisationen. I det här inlägget fokuserar vi på att ge dig en introduktion till GDPR utifrån hur det kan påverka en organisations webbplats.

Vad händer om ni inte följer GDPR?

En anledning till den uppmärksamhet GDPR får är de höga bötesbeloppen för den som bryter mot förordningen. Upp till 4 procent av organisationens / företagets globala omsättning eller 20 miljoner euro. I vilken utsträckning som den storleken av bötesbelopp kommer att tillämpas är oklart. I Sverige kommer Datainspektionen att vara tillsynsmyndighet.

Domstolarna kommer att behöva sätta praxis för hur lagen ska tillämpas i praktiken. Av den anledningen kommer vi inte ha alla svar på hur vi ska anpassa våra webbplatser till GDPR den 25 maj 2018. Även andra lagar kan komma att påverkas, till exempel kommer förmodligen “kaklagen” uppdateras (ePrivacy Act).

En gissning är att granskande journalister kommer att vara de första som ringer och kollar om din organisation följer GDPR. Inledningsvis kommer den största risken vara den badwill som organisationer får på grund av journalisters kritiska granskningar eller så kallade pro-privacy-organisationer. Under 2017 har många myndigheter granskats ur ett informationssäkerhetsperspektiv och 2015 uppmärksammade DN hur externa aktörer samlade in surfvanor via delningsknappar på myndigheters webbplatser.

Vad är en personuppgift?

För att förstå hur GDPR påverkar en webbplats är det viktigt att du förstår hur förordningen definierar vad en personuppgift är. I det här sammanhanget används ofta den engelska förkortning PII, vilket står för ”Personally Identifiable Information”. Bra att veta är att definitionen på PII skiljer sig åt i GDPR och motsvarande lagstiftning i USA.

Det hade varit enkelt om personuppgifter endast var personnummer, namn och adress. Så är det inte.

IP-adresser och kakor (eller andra sätt att spara information i en webbläsare) är personuppgifter om det är möjligt att koppla ihop dem med en individ. Datainspektionen skriver att ”Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.”. Det är inte möjligt att gå förbi det här genom att data ”kodats, krypterats eller pseudonymiserats” om det är möjligt att på något sätt koppla ihop det med en individ.

Extra känsliga personuppgifter

Det finns också personuppgifter som är extra känsliga. Datainspektionen listar följande personuppgifter som extra känsliga: ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person.

Det som är känsliga personuppgifter i kombination med att en personuppgift ”enskilt eller i kombination med andra uppgifter, kan knytas till en levande person” gör att det kan få stora konsekvenser för hur en webbplats kan utformas.

Grundläggande principer för behandling av personuppgifter

GDPR innehåller flera grundläggande principer för hur personuppgifter får behandlas utifrån individens perspektiv. Datainspektionen har en ganska rörig beskrivning av principerna, medan deras motsvarighet i Storbritannien tycker jag har lyckats bättre i att enkelt beskriva vad de innebär. Principerna är:

  1. Rätten att bli informerad om hur ens personuppgifter hanteras på ett enkelt och begripligt sätt.
  2. Rätten till tillgång av hur en personuppgifter lagras och hanteras.
  3. Rätten att korrigera de personuppgifter som lagras.
  4. Rätten att radera de personuppgifter som lagras.
  5. Rätten att hindra behandling av de personuppgifter som lagras. Syfte eller medgivande till att lagra personuppgifter innebär inte att de får behandlas och bearbetas hur som helst.
  6. Rätten till flyttbarhet (dataportabilitet) av personuppgifter som en individ skickat in ska kunna begäras ut för att flytta till annan tjänst eller produkt.
  7. Rätten att invända mot hur personuppgifter behandlas, till exempel i samband med direkt marknadsföring.
  8. Rätten mot att automatiska beslut fattas om en individ utifrån personuppgifter och annan data som kan leda till skada för individen, utan att en mänsklig kontroll görs.

Vår gissning är att om webbplatsen hanterar extra känsliga personuppgifter kommer kraven att möta de här principerna bli högre.

Vad är en webbplats?

Vad vi menar med en webbplats i det här fallet är: vad som sker med personuppgifter i webbläsaren, webbpubliceringssystemet (WCMS), webbservern och kopplingar som görs mellan webbservern och/eller webbläsaren till externa system eller externa aktörer.

Utifrån GDPR behöver ni säkerställa att:

  • ingen obehörig kommer åt personuppgifter via webbplatsen.
  • inga personuppgifter läcker till system som vi inte har kontroll över.
  • användarna informeras och ger sitt medgivande till att lagring av personuppgifter sker.

I kommande inlägg kommer vi att fördjupa oss i hur man kan angripa de här frågorna, och vad som är mer eller mindre tydligt i lagen just nu. Det är värt att påminna om att svaren på frågorna inte kommer att vara helt tydliga ens den 25 maj 2018.