Checklista för att GDPR-säkra era intresseanmälansregister

Checklista för att GDPR-säkra era intresseanmälansregister
Rebla

Den 25:e maj – dagen då den nya dataskyddsförordningen träder i kraft – kryper närmare. Att hinna se över varje skrymsle av sin organisation innan dess är för de flesta organisationer en omöjlighet och egentligen är det nog ingen fara med det. Vad man bör ha gjort innan den 25 maj är emellertid en risk och exponeringsanalys. De områden där man är som mest exponerad är ofta de områden där man har samlat in kunders uppgifter för att sedan använda dem för information och marknadsföring.

Den nya dataskyddsförordningen kom i mångt och mycket till för att skydda den enskilda från att hens personuppgifter används som handelsvara och till otillbörlig marknadsföring. Med anledning av detta är det viktigt att varje organisation visar att de är kapabla att hantera de register där man samlat in uppgifter rörande en persons intressen. Dessa register används ofta som försäljningskanaler och det kan uppfattas som både stötande och störande om man som kund märker att uppgifterna missbrukas.

För ett intresseanmälansregister där en person anmäler sitt intresse för t.ex ett bostadsprojekt gäller följande:

Vid insamlingstillfället ska det upplysas om:

  • Vilka personuppgifter som samlas in – både de som är uppenbara för den som registrerar sig och de som dolt samlas in.
  • Varför personuppgifterna samlas in.
  • Vad personuppgifterna kommer att användas till.
  • Vilka som kommer hantera personuppgifterna.
  • Var (i världen) och hur länge personuppgifterna kommer att lagras.

Observera att det är viktigt att de system som lagrar personuppgifterna kan koppla uppgifterna till insamlingstillfället så man kan visa på vilka rättigheter uppgifterna är knutna till. Det måste finnas spårbarhet i systemet.

Förutom spårbarheten måste systemen som lagrar personuppgifterna ha följande funktioner:

  • Det måste vara möjligt att radera personuppgifter permanent. Många system inaktiverar bara datat (så att det inte dyker upp i listor mm) men data sparas fortfarande någonstans. Detta är inte förenligt med personuppgiftslagen.
  • Data ska gå att separera så att vissa personuppgifter kan sparas längre än andra – viss lagring av personuppgifter har stöd av annan lagstiftning och därför ska de uppgifterna lagras över längre tid. Olika uppgifter för samma individ kan behöva lagras olika länge.
  • Strukturerade backuper – samma krav som gäller för systemet ska även appliceras på de backuper som görs av systemet.
  • Datasäkerhet. Den som samlar in personuppgifter är också skyldig att skydda dem från eventuellt intrång. Datasäkerhet innebär både tekniska åtgärder men också rutiner för den mänskliga organisationen.
  • Möjlighet att anonymisera data. Ofta finns det ett behov att spara data för statistik. Den datan behöver emellertid inte innehålla personuppgifter. När data inte längre kan kopplas till en enskild individ blir hanteringen av den mycket mindre regelstyrd.  

Trots att många system som används idag inte uppfyller ovanstående krav så är det oftast inte själva systemet som orsakar de största problemen utan rutinerna kring utdrag ur systemen och överföringar till andra system.

  • Idag skickas ofta Excelark med personuppgifter via mail. Dessa mail lagras naturligtvis både på sändarens och mottagarens mailserver. Lagring på en mailserver är i princip helt omöjlig att kontrollera på ett sätt som är förenligt med GDPR.

Sist men absolut inte minst måste det finnas möjlighet för den som registrerar sig att helt och hållet frånsäga sig marknadsföring och reklam.

  • Det måste gå att registrera sitt intresse för tex en nyproducerad bostad utan att samtidigt behöva säga ja till marknadsföring.
  • Det spelar ingen roll om den som samlar in personuppgifterna bedömer att den marknadsföring som sker ligger i den registrerades intresse. Det ska ändå finnas en möjlighet att avsäga sig den.
  • Insamlade personuppgifter får inte användas för att definiera marknadsföringssegment på tex Facebook och Instagram om den som lämnat ut sina uppgifter inte upplysts och samtyckt till detta.

De system som vänder sig mot byggherrar och bostadsutvecklare som mitt företag Rebla har byggt uppfyller alla de krav som finns på GDPR-förenliga system ska uppfylla. Vi har dessutom sett över vår interna process för att dela personuppgifter och kommer från den första april inte skicka personuppgifter i mail.  

Rebla samarbetar dessutom med IP-byrån IPQ som har flera juridiska experter på GDPR. De kan hjälpa till att se över hela den lagliga grunden för insamlingen av intresseanmälningar och skapa tydliga informations- och samtyckestexter.

Att driva sin verksamhet i förenlighet med GDPR är inte alls så svårt som många vill få det att framstå. Bra system, ordning och reda samt planering för framtiden är oftast de enda som krävs. Detta kan dessutom ligga till grund för mycket annat gott. Ordning och reda på sitt data lägger grunden för att kunna analysera sitt data och därmed lära sig mer om sin verksamhet. Mer om hur det går till kommer jag berätta om i framtida artiklar.