Checklista + GDPR

Under våren 2018 trädde Dataskyddsförordningen (GDPR) i kraft, med nya regler för hanteringen av personuppgifter. Vi listar 7 saker att tänka på, när du ska installera livechatt på din hemsida.

Det var bråda dagar under våren 2018, när Europas företag förberedde sig för de nya reglerna i Dataskyddsförordningen (GDPR, The General Data Protection Regulation).

Idag har de flesta hunnit få nya rutiner på plats. Men varje gång ditt företag skapar en ny kontaktyta gentemot kunder och användare, är det klokt att repetera vad som gäller. En ny livechatt på hemsidan är ett gyllene tillfälle att fräscha upp kunskaperna.

Ökad försäljning, fler leads och högre kundnöjdhet är bara några av vinsterna med att ha en livechatt på sin hemsida. Läs gärna mer om fördelarna med livechatt här.

Det finns inga särskilda regler i Dataskyddsförordningen just för livechatt. Däremot gäller samma bestämmelser som för all hantering av personuppgifter. Vi har sammanställt sju punkter som är bra att tänka på när ni kickar igång er livechatt:

  • Dokumentera alla dataflöden
  • Samla och lagra inte mer data än nödvändigt
  • Skriv en utförlig integritetspolicy
  • Skydda alltid personuppgifter
  • Kom ihåg rätten att bli bortglömd
  • Teckna personuppgiftsbiträdesavtal med alla leverantörer
  • Involvera och utbilda hela organisationen

#1 Dokumentera alla dataflöden

Kravet på att dokumentera alla dataflöden är en av grundpelarna i Dataskyddsförordningen. Du ska kunna redovisa hur och var kommunikation sker, om och hur du lagrar informationen, samt vem den delas med. Om information till exempel skickas från din livechatt vidare till ditt företags CRM, är det viktigt att detta dokumenteras.

Varför är dokumentationen så viktig? Jo, för att en av nyheterna i Dataskyddsförordningen är regeln om Ansvarsskyldighet. Den innebär att det inte räcker att följa lagen. Den som är ansvarig för hantering av personuppgifter måste även kunna visa hur man följer bestämmelserna.

 

#2 Samla och lagra inte mer data än nödvändigt

Det är inte tillåtet att samla in och lagra fler uppgifter än vad som kan motiveras. De personuppgifter som samlas in måste vara kopplade till ett ändamål, som i sin tur måste uppges tydligt. Det är alltså inte tillåtet att samla in uppgifter som “kan vara bra att ha”. Det är inte heller tillåtet att spara personuppgifter längre än nödvändigt.

Vad gör man då med gammal data? Jo, så snart personuppgifter inte längre behövs ska de raderas eller avidentifieras. Därför är det bra med tydliga processer för så kallad gallring av personuppgifter, till exempel genom rutinmässig radering av data efter en viss tid.

 

#3 Skriv en utförlig integritetspolicy

För att ha rätt att behandla data krävs enligt Dataskyddsförordningen dels en laglig avsikt, dels att avsikten tydligt uppges. Ett lämpligt ställe för detta är i regel företagets integritetspolicy. Här kan du förklara exakt vilken typ av data som samlas in, vem som har tillgång till den och hur den används.

I policyn ska det även klart och tydligt framgå hur man gör för att få tillgång till sina personuppgifter, eller för att få dem raderade. Vill du se ett exempel på hur det kan se ut? Telavox integritetspolicy finns att läsa i sin helhet här.

 

#4 Skydda alltid personuppgifter

Det är viktigt att skydda personuppgifter så att de inte hamnar i obehöriga händer. Tekniska säkerhetsåtgärder kan vara nödvändiga, genom till exempel brandväggar, kryptering, säkerhetskopiering och antivirus-skydd. Interna rutiner och tydliga riktlinjer är exempel på organisatoriska skyddsåtgärder.

Vad händer om personuppgifter ändå skulle hamna i fel händer? Det kallas i lagtexten för en personuppgiftsincident, och sådana ska anmälas till Datainspektionen. Berörda individer ska även informeras, om incidenten innebär att det finns risk för till exempel id-stöld eller bedrägeri.

 

#5 Kom ihåg rätten att bli bortglömd

Personer vars personuppgifter hanteras har enligt dataskyddsförordningen mer långtgående rättigheter än tidigare. Till dessa hör rätten till information om när och hur personuppgifter behandlas, samt rätten till kontroll över de egna uppgifterna.

En viktig del i Dataskyddsförordningen är “Rätten att bli bortglömd”, som innebär att en användare har rätt att begära att all information ditt företag samlat om denne raderas. En kund har till exempel rätt att begära att en chattkonversation eller ett ärende som innehåller personuppgifter av något slag raderas.

 

#6 Teckna personuppgiftsbiträdesavtal med alla leverantörer

Enligt Dataskyddsförordningen är ditt företag ansvarigt för insamlade personuppgifter, även när andra företag anlitas för att hantera dem.

Om ditt företag, som i lagtexten då kallas för ‘personuppgiftsansvarig’, exempelvis anlitar Telavox för en tjänst som hanterar information, så får Telavox rollen som ‘personuppgiftsbiträde’. Då måste ett särskilt personuppgiftsbiträdesavtal tecknas, som beskriver hur leverantören gör för att följa regelverket.

Om du vill kika närmare på vårt personuppgiftsbiträdesavtal hittar du det här.

 

#7 Involvera och utbilda hela organisationen

Det är viktigt att alla medarbetare förstår hur de nya reglerna fungerar. Särskilt viktigt är det att alla som har direktkontakt med kunder känner till de grundläggande principerna i GDPR. Dels för att de nya reglerna tillkommit för att skydda allas vår integritet på nätet. Dels för att brott mot regelverket kan bli minst sagt kostsamma.

De allra högsta sanktionsnivåerna gäller bland annat just användares rätt till information, registerutdrag och radering av lämnade uppgifter. Den högsta straffavgiften uppgår till 20 miljoner euro eller fyra procent av bolagets globala årsomsättning. Internutbildning är med andra ord en investering som är mödan väl värd.

Har du frågor om GDPR och våra lösningar? Tveka inte att höra av dig!

blog-demo-cta