Vad du som jobbar med PR bör tänka på kring GDPR
EU:s nya dataskyddsförordning ”General Data Protection Regulation” (GDPR) trädde i kraft den 25 maj 2018. Förordningen innehåller betydligt hårdare krav på hantering av personuppgifter än tidigare PUL som nu helt har ersatts. GDPR kräver nya rutiner, dokumentation och processer om säker och laglig personuppgiftsbehandling ska kunna säkerställas. Därför har Svenska PR-företagen listat några tips som du som jobbar med PR bör tänka på.
Här listar vi några tips för dig som jobbar med PR. Mycket av arbetet är ditt eget men är du osäker bör du kontakta en jurist.
- Personuppgifter är alla slags upplysningar som direkt eller indirekt kan kopplas till en individ. Det räcker att två indirekta uppgifter kan kopplas ihop för att det ska räknas som en personuppgift
- All behandling av personuppgifter kräver rättslig grund för att vara tillåten. Överlag krävs inhämtning av giltiga samtycken. I vissa fall kan dock en intresseavvägning göras. Se utdrag av förordningen nedan för närmare definition av begreppen
- Var transparent i dina kontakter och berätta vart du fått personuppgifterna ifrån, exempelvis i ett pressutskick
- Behandla bara personuppgifter utifrån tydligt avgränsade ändamål. En lista som använts till ett ändamål där samtycke fanns kanske inte bör användas till ett helt annat ändamål
- Samla inte in eller lagra fler personuppgifter än du behöver
- I alla utskick ska mottagaren ha möjlighet att avregistrera sig eller höra av sig för att bli borttagen från listan.
- Registrerade har rätt till insyn i er personuppgiftsbehandling och ska kunna få information om vilka uppgifter som är sparade om dem, få felaktiga uppgifter rättade, samt begära att de vidarebefordras till andra företag/organisationer om så önskas
- Upprätta en extern och en intern personuppgiftspolicy, som redogör för er behandling av personuppgifter enligt GDPR.
- Se även till att den interna rutinpolicyn innehåller information kring åtgärder vid möjlig incident
- Dokumentera vilka personuppgifter ni har och hur ni hanterar dem och var beredda att redovisa dokumentationen
- Utnämn en personuppgiftsansvarig på bolaget som kan ansvara för och visa att förordningen efterlevs
- Se till att de anställda vet vad som förväntas av dem – internutbildning, arbetsinstruktioner, säkerhetsrutiner
- Kontrollera hur alla dina leverantörer (personuppgiftsbiträden) hanterar de personuppgifter du använder och ansvarar för. Du kan annars bötfällas på grund av leverantörernas bristfälliga hantering
- Upprätta och ingå biträdesavtal med externa parter som behandlar personuppgifter för er räkning. Rådfråga jurist för att upprätta eller säkerställa avtalets innehåll. Acceptera inte avtalsversioner upprättade av andra utan granskning
- Skyddas de personuppgifter ni ansvarar för? GDPR ställer krav på informationssäkerhet såsom lösenordsskydd, brandvägg, antivirus, uppdaterad mjukvara, behörighetsstyrning, etc.
Skäl 32 i förordningen GDPR
”Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne […] Tystnad, på förhand ikryssade rutor eller inaktivitet bör inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften.”
Skäl 47 i förordningen GDPR
”Behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.”
Med vänliga hälsningar
Styrelsen Svenska PR-företagen