En ny nivå av dataskydd
Den 25 maj trädde EUs allmänna dataskyddsförordning (GDPR) i kraft efter en övergångsperiod på två år. Förordningen ställer strängare krav på företag och myndigheter vad gäller dataskydd och inför stränga påföljder när reglerna inte följs. Nedan kan du läsa om vad den nya förordningen innebär och vad du behöver veta om hantering av personuppgifter.
Alla individer har en grundläggande rätt att kontrollera sina uppgifter: Vilka uppgifter om dem lagras? Hur används uppgifterna? Raderas de någon gång? Det här är det centrala budskapet i GDPR. Förordningen träder i kraft den 25 maj 2018 och kommer att standardisera dataskyddslagstiftningen inom hela EU.
Det innebär att alla företag runt om i världen som samlar in eller behandlar personuppgifter om EU-medborgare måste följa nya, striktare bestämmelser för behandlingen av dessa uppgifter.
Fokus är framför allt insamling, användning, lagring samt radering av personuppgifter och skydd mot obehörig åtkomst till uppgifterna.
Också företag inom logistikbranschen har varit tvungna att hantera den här frågan och vidta lämpliga försiktighetsåtgärder.
Försiktighetsåtgärderna är både tekniska och processrelaterade: Finns det en uppdaterad översikt över företagets samtliga system som samlar in eller innehåller personuppgifter? Är insamlingen nödvändig för att genomföra ett avtal? Har samtycke givits för insamling och användning av uppgifterna och har detta dokumenterats på lämpligt sätt?
Generellt ställer GDPR krav på att register, information, processer och kvitton dokumenteras på ett lagligt säkert och transparent sätt.
Företag där tio eller fler anställda regelbundet hanterar personuppgifter måste också utse ett dataskyddsombud. För att redan från början följa kraven i GDPR ska dataskyddet i framtiden vara tekniskt införlivat när procedurer för databehandling tas fram. Dessa principer för ”inbyggt dataskydd” och ”dataskydd som standard” finns i artikel 25 i GDPR.
Vem ansvarar för att GDPR följs?
I grunden ansvarar varje företag självt för att följa GDPR. Om en tredje part behandlar personuppgifter för ett företags räkning kallas det för orderbehandling och både det avtalsslutande företaget (personuppgiftsansvarig) och tredje part (personuppgiftsbiträde) ansvarar för att följa GDPR. Dessutom krävs i de här fallen ett avtal om orderbehandling.
DACHSER ansvarar för att säkerställa skyddet för de personuppgifter som behövs för att erbjuda speditionstjänster. Detta kräver inte något avtal om orderbehandling.
Datatillsynsmyndigheten i Ansbach i Bayern har beslutat att speditionstjänster inte omfattas av orderbehandling enligt definitionen i artikel 4 (8) i EUs allmänna dataskyddsdirektiv (GDPR).
Att säkerställa dataskydd har alltid varit en viktig angelägenhet för oss, också innan GDPR träder i kraft.
DACHSER har genomfört intensiva förberedelser för att vara redo vad gäller teknik och processer för att implementera de nya tilläggsreglerna för GDPR.
Personuppgifter har alltid använts enbart för att behandla förfrågningar, leverera beställningar och – förutsatt att samtycke har getts – ge tillgång till specialinformation eller erbjudanden. Vi behöver också samtycke för att kunna skicka vårt eLetter i framtiden. I det som kallas den dubbla opt-in-processen måste alla mottagare bekräfta i ett andra steg om de vill fortsätta att få information.