GDPR: Komma underfund med komplexiteten i kunduppgifter

Marcy Darsey, Director of Corporate Counsel, Lifesize
Datum: 15 februari, 2018

Hej, allesammans, och välkomna till Lifesize Live! En webbshow som producerats helt via Lifesizes plattform.

Jag är er värd, Julian Fields, och med mig idag har jag Marcy Darsey, juridisk rådgivare här på Lifesize. Vi kommer att tala om GDPR.

Precis. Det är väldigt populärt att tala om nuförtiden.

Ja, och jo, vi vet ju vad GDPR är. Men du kanske kan ge oss en bakgrundsförklaring så att alla vet vad GDPR är – vad det innebär, vad det faktiskt står för, osv.

Tja, Julian, först och främst så vill jag tacka dig för att jag fick komma till Lifesize Live! Det är verkligen spännande att se studion och vara med i den här webbsändning som Lifesize producerar just nu. Och innan vi sätter igång, eller går in på djupet vad GDPR är för något, så vill jag i egenskap av jurist förtydliga att inget av det jag säger inom de kommande 10 minuterna utgör juridisk rådgivning.

Okej.

Så om någon är väldigt nyfiken på det här ämnet eller har några specifika frågor om GDPR eller någon bestämmelse eller lag, så ska de rådfråga en kvalificerad juridisk expert på de frågorna. Men nu till din fråga. Vad är GDPR, och vad står det för? GDPR står för Allmänna dataskyddsförordningen, och är en ny lag som godkändes av Europeiska kommissionen. Den handlar om datasäkerhet och sekretess för alla medborgare i Europeiska unionen.

Okej. Eftersom jag har arbetat med marknadsföring vet jag att vi alltid har haft vissa element av detta då vi inte har kunnat skicka e-post till människor som avanmält sig.

Okej. ´Det har faktiskt funnits lagar om datasäkerhet och sekretess i EU ett bra tag nu. I över 20 år. Men själva GDPR har bara funnits i två år nu. Vi har befunnit oss i en implementeringsperiod, och den 25 maj är datumet då lagstiftarna kommer att verkställa den här lagen. De kommer att börja med att hantera problem med bristande överensstämmelse, och om de finner att företag inte följer GDPR, så riskerar dessa företag att tilldelas böter. Och böterna är rejäla.

Okej, så det är inte en smäll på fingrarna.

Nej, det är det inte. Böterna kan uppgå till 20 miljoner euro, vilket är kännbart.

Konverteringskurs på det är – få se nu, det är mer än 20 miljoner dollar.

Det är mycket pengar. Företagen kan betala mer än 20 miljoner dollar eller upp till fyra procent av sin årliga globala omsättning, vilket inkluderar deras intäkter från deras globala verksamhet, inte bara deras verksamhet i Europa.

Okej, så ju större du är, desto drygare blir böterna.

Precis, böterna är meningsfulla, och det beror på att Europeiska unionen erkänner att alla individer har en grundläggande rätt till privatliv. Och tänk på att den värld som vi lever i idag, med alla de tekniska framsteg som har skett under de senaste decennierna, delas människors identiteter och personuppgifter över många plattformar, och många företag tjänar pengar på att samla in data från dessa individer.

Ja, det verkar som om varje applikation jag äger har åtminstone mitt namn, en del av ett lösenord, telefonnummer, adress, sådana saker.

Precis. Tänk på alla de företag du har interagerat med online och hur mycket information dessa företag har om just dig.

Kreditkort är bara en sak, men liksom min faktiska person, mina uppgifter.

Ja, din identitet, dina uppgifter, vem du är, ditt namn – allt det är privat information. Och om du delar informationen med ett företag, är det företagets skyldighet att se till att de är transparenta med dig om hur de samlar in uppgifterna och hur de använder dem, och de är dessutom skyldiga att genomföra lämpliga tekniska och operativa skyddsåtgärder för att säkerställa att dina personuppgifter är säkrade så att de inte blir hackade. Och om företag inte följer dessa lagar blir påföljderna allvarliga eftersom regeringen i EU vill se till att företagen tar sina skyldigheter på allvar.

Jag förstår. Så vilka är nyckelelementen i GDPR?

Tja, skriver du ut GDPR på engelska blir det 88 sidor. Så det är en omfattande lag som täcker många frågor. Det finns faktiskt 99 olika artiklar i GDPR.

Men det är ju perfekt, eftersom idag är det 99 dagar kvar innan vi måste vara i överensstämmelse med lagen. En artikel om dagen – det klarar vi.

Det klarar vem som helst. Så 99 är det magiska numret idag eftersom vi har 99 dagar på oss till GDPR verkställs. Lagen täcker många olika saker, men en av nyckelfrågorna har jag redan nämnt: transparens. Individer har rätt att veta vilka uppgifter om dem som samlas in, vad företag gör med dessa uppgifter, oavsett om de skickar dem vidare till andra tredjepartsleverantörer eller registerförare. Transparens avser även kännedom om hur och var i världen dina uppgifter lagras.

Så exempelvis saker som popup-fönstren du ser på webbplatser som säger att de samlar in cookies, eller sådana saker.

Ja, det kan vara banderoller – det är en del av att vara transparent med kunderna. Det är verkligen viktigt att ha lämpliga regler om offentliggörande i din integritetspolicy eller ditt sekretessmeddelande. De flesta företagen uppdaterar sina sekretessmeddelanden för kunder så att de uppfyller dessa skyldigheter till öppenhet. En annan princip i GDPR är ansvarsskyldighet, vilket också är väldigt viktigt. Ansvarsskyldighet innebär att företagen måste kunna visa för sina kunder att de följer bestämmelserna, vilket de gör genom att implementera skriftliga riktlinjer och rutiner. De måste även dokumentera sina aktiviteter för uppgiftsbehandling. Företagen måste ha dokumentation som beskriver deras arbete.

Så det räcker inte med att säga: ”Ja, jag bekräftar att jag följer GDPR.”

Det räcker inte att säga: ”Lita på oss. Vi följer lagen.” Du måste verkligen ha dokumentation som visar att du följer reglerna. Och då kommer vi till en tredje huvudprincip i GDPR som kallas för inbyggd integritet, och vad det innebär är att om företag utvecklar produkter som involverar insamling, behandling eller lagring av individers personuppgifter–

Som de appar jag pratade om.

Ja, precis. Så om du är ett företag och du utvecklar appar som samlar in personuppgifter måste du följa en strategi om inbyggd integritet inom produktutveckling.

Så inte en eftertanke.

Det betyder att när du utvecklar arkitekturen för din lösning eller din tjänst tar du också hänsyn till integritet och säkerhet i varje steg på vägen. Du utvecklar den med integritet i åtanke från första början, och tänker på hur det är inbakat i produktarkitekturen. Det är inte något du gör och implementerar i slutet som en eftertanke. Precis som du sa.

”Vi krypterar det i slutet” – det är inte rätt sätt att göra det.

Det går inte riktigt. Du måste tänka på integritet under hela produktutvecklingens livscykel. Och återigen så innebär ansvarsskyldighet att du måste dokumentera detta arbete.

Jag förstår. Men om det är det viktiga, så kanske du kan förklara vad företagen verkligen ska tänka på. Vad är det första de ska arbeta med?

Det första steget för företag är att genomföra en uppgiftsbedömning och komma till insikt om vilka uppgifter de har. Företagen måste verkligen titta på vilka uppgifter om sina kunder de har och förstå uppgifterna samt uppgiftsflödet. Det kallas ibland för att kartlägga eller inventera uppgifter. Och sedan tittar de på varje steg, från insamling till behandling, lagring och radering eller kvarhållande – huruvida de är skyldiga att uppfylla krav för att säkerställa att de är i överensstämmelse eller inte. Så det första steget är bedömning eller kartläggning av data. Och det andra steget är att utveckla lämpliga tekniska och operativa åtgärder för att säkerställa att personuppgifterna är säkra under hela kartläggningsprocessen.

Okej. Jag såg precis att vi fick in en fråga, som jag hoppas att jag kan svara på. Den handlar om kraven kring uppgiftsskyddsombudet. Är det någonting som företag har?

Det beror på. Det är inte något alla företag behöver ha, utan det beror på vilken typ av uppgifter som behandlas. Om du behandlar många känsliga uppgifter är det förmodligen bra att ha ett uppgiftsskyddsombud. Och om du arbetar med någon typ av löpande övervakning, t.ex. om du har en TV med undertext och du ständigt övervakar människor, så måste du utse ett uppgiftsskyddsombud. Det är det typiska juridiska svaret, men det beror på. Och det är verkligen någonting som är bra att hålla i åtanke med den här lagen – det är inte en universallag. Alla företag borde utveckla ett anpassat program för sin egen överensstämmelse. Och det beror på typen av uppgifter och deras aktiviteter för databehandling. Så det finns inte riktigt en enkel lösning som fungerar för alla företag. Allt måste anpassas och övervägas noggrannt.

Då förstår jag. Tack så mycket, Marcy. Jag tror vi inte har mer tid över för det här ämnet, men jag vet att vi har några fler frågor som kommit in som jag hoppas att du kan svara på. Vi kanske kan göra en uppföljning med dig, skapa en blogg och tala lite mer om detta?

Helt klart. Det finns mycket säga om det här ämnet, och jag är tacksam för alla som har lyssnat och varit med oss idag. Och tack för att jag fick komma.

Ja, självklart. Vi kommer att bjuda in dig snart igen. Tack, allesammans, för att ni lyssnat. Vi hörs igen nästa vecka. Hej då.