Enligt nya dataskyddslagen (GDPR – General Data Protection Regulation) måste det finnas riktlinjer för hur företaget behandlar personuppgifter på din webbplats. De måste dessutom vara skrivna på ett klart och tydligt sätt. Här går vi igenom vad som måste finnas med, och hur du skriver det så att besökaren förstår.
Den 25 maj 2018 träder nya dataskyddsförordningen i kraft. Den innebär i korthet att om du inte följer reglerna kan du få betala 4 % av total global årsomsättning eller upp till 20 miljoner Euro i sanktionsavgift. Ett skäl så gott som något att se till att hålla sig till de regler som satts upp.
Du måste ha riktlinjer för hur du hanterar personuppgifter
Enligt förordningen måste du informera dina kunder, medlemmar eller webbplatsbesökare om hur du hanterar personuppgifter. Alla som lämnar sina personuppgifter till dig måste ha möjlighet att läsa hur ni behandlar uppgifter och vilka rättigheter de har. Det enklaste är därför att samla allt i ett dokument, en dataskyddspolicy, och ha på en egen sida på webbplatsen, precis som vi gör med cookietexter idag.
Dessutom måste du, enligt lagen, ge informationen på ett klart och tydligt sätt. Det innebär att du behöver lägga resurser på att skriva dataskyddspolicyn på klarspråk.
Vad ska stå i riktlinjerna?
Exakt vad som ska stå i riktlinjerna beror på vilka uppgifter din verksamhet samlar in. Rådgör gärna med någon som är insatt i GDPR innan du börjar skriva.
Exempel på vad som bör stå med:
- Identitet och kontaktuppgifter för den personuppgiftsansvarige.
- Varför ni samlar in personuppgifter
- Vilka rättsliga grunder ni har för att samla in personuppgifter
- Vilka som kommer att få tillgång till uppgifterna, till exempel om det är externa leverantörer som kommer få era insamlade uppgifter.
- Var ni kommer lagra uppgifterna, om ni kommer lagra dem i ett annat land.
- Hur länge ni kommer lagra uppgifterna. Om ni inte vet hur länge det ska lagras kan ni skriva vad som kommer påverka lagringstiden. Exempel på vad som kan påverka lagringstiden är bokföringslagen.
- Att personer har rätt att få tillgång till sina uppgifter och få felaktiga uppgifter rättade.
- Att personer kan ta tillbaka sitt samtycke till insamling och, om inga lagliga hinder finns, få sina uppgifter raderade.
- Uppgifter till dataskyddsinspektionen om personen vill klaga på er hantering.
Hur skriver jag en dataskyddspolicy?
Syftet med en dataskyddspolicy är att dina besökare ska förstå vad du gör, varför och hur. Enligt lagen ska du ge informationen ”i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk”. Därför är det viktigt att du inte fastnar i tungt, juridiskt språk, utan skriver så att läsaren förstår.
1) Bestäm vilka områden du ska skriva om
Varje område ska ha en tydlig rubrik som förklarar vad som kommer under. På så sätt blir det lättare för läsaren att läsa och navigera genom texten. Det brukar behövas, eftersom de här texterna ofta blir väldigt långa.
2) Använd vanligt språk
Skriv som du pratar. Tänk att du skulle berätta om vad ni gör när du fikar med en kompis (även om jag hoppas att du har roligare saker att prata om än GDPR när du träffar dina vänner!). Du skulle förmodligen inte använda uttryck som
- Göra dina rättigheter gällande
- Ingå ett avtalsförhållande med oss
- Genomföra kontraktuella åtaganden gentemot dig
Förmodligen skulle du istället skriva
- Utnyttja dina rättigheter
- Köpa en vara eller tjänst av oss
- Genomföra ditt köp och leverera dina varor
3) Ge exempel
Ge exempel när det blir abstrakta begrepp som kan vara svåra att förstå. Skriv inte bara personuppgifter, utan exemplifiera i form av
- Namn
- IP-adress
- Geografisk placering eller adress
- Webbläsare
- Köphistorik
Ta hjälp när du skriver din dataskyddspolicy
Vi är experter på klarspråk. Vi hjälper dig att skriva riktlinjerna på ett klart och tydligt sätt, så att du följer direktivets krav på klarspråk också. Vi kan också hjälpa dig att se över era processer för personuppgiftslagring, och se hur de kan ändras för att följa direktivet.