GDPR (General Data Protection Regulation) \u00e4r fortfarande en av v\u00e4rldens mest omfattande integritetslagar. Driver du en enkel blogg eller en stor SaaS spelar mindre roll: s\u00e5 fort du behandlar personuppgifter om personer i EU beh\u00f6ver du f\u00f6lja GDPR. Konsekvensen av att missa viktiga delar kan bli sanktionsavgifter p\u00e5 upp till 20 miljoner euro eller 4 % av global \u00e5rsoms\u00e4ttning (det som \u00e4r h\u00f6gst).<\/p>\n\n\n\n
Det h\u00e4r \u00e4r en praktisk och komplett checklista f\u00f6r dig som \u00e4ger eller f\u00f6rvaltar en webbplats och vill kunna visa att ni jobbar strukturerat med GDPR \u2013 fr\u00e5n datainventering och r\u00e4ttslig grund till cookie-samtycke, personuppgiftsbitr\u00e4desavtal och incidentrutiner. Observera att detta \u00e4r generell v\u00e4gledning och inte juridisk r\u00e5dgivning.<\/p>\n\n\n\n
GDPR (General Data Protection Regulation) \u00e4r en dataskyddsf\u00f6rordning som b\u00f6rjade till\u00e4mpas i EU den 25 maj 2018. Den s\u00e4tter tydliga regler f\u00f6r hur organisationer f\u00e5r samla in, anv\u00e4nda, lagra och dela personuppgifter. Reglerna g\u00e4ller \u00e4ven f\u00f6retag utanf\u00f6r EU om de behandlar personuppgifter om personer som befinner sig i EU.<\/p>\n\n\n\n
Innan du b\u00f6rjar bocka av saker beh\u00f6ver du veta vilken roll din organisation har i relation till personuppgifter.<\/p>\n\n\n\n
Det \u00e4r helt m\u00f6jligt att vara b\u00e5de controller och processor beroende p\u00e5 sammanhang (t.ex. om du driver en tj\u00e4nst som b\u00e5de har egna anv\u00e4ndare och samtidigt behandlar data \u00e5t en kund).<\/p>\n\n\n\n
G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Det h\u00e4r \u00e4r en inventering av faktiska datatyper (t\u00e4nk kolumner\/f\u00e4lt) som ni lagrar, till exempel namn, personnummer, adress. F\u00f6r varje datatyp ska ni dokumentera var uppgiften kommer ifr\u00e5n, vilka parter den delas med, syftet med behandlingen och hur l\u00e4nge ni sparar den.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Det kan vara databaser (t.ex. MySQL), men \u00e4ven offline-lagring som papper. Po\u00e4ngen \u00e4r att du ska kunna peka ut var data finns och hur den r\u00f6r sig mellan system (t.ex. formul\u00e4r \u2192 CRM \u2192 e-postverktyg \u2192 support).<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Integritetspolicyn ska beskriva alla relevanta processer f\u00f6r hantering av personuppgifter. Den ska \u00e4ven inneh\u00e5lla (eller l\u00e4nka till) vilka typer av personuppgifter ni har och var ni lagrar dem.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Du beh\u00f6ver f\u00f6rklara varf\u00f6r behandling sker, till exempel f\u00f6r att uppfylla ett avtal (fulfillment of a contract).<\/p>\n\n\n\n GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n DPO (Data Protection Officer) \u00e4r bara ett krav i tre situationer:<\/p>\n\n\n\n Om DPO kr\u00e4vs b\u00f6r personen ha kunskap om GDPR-riktlinjer och f\u00f6rst\u00e5 de interna processer d\u00e4r personuppgifter ing\u00e5r.<\/p>\n\n\n\n GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Se till att nyckelpersoner och beslutsfattare har uppdaterad kunskap om dataskyddslagstiftningen.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n F\u00f6r SaaS-bolag \u00e4r det rimligt att b\u00f6rja med en s\u00e4kerhetschecklista f\u00f6r att s\u00e4kerst\u00e4lla att r\u00e4tt tekniska \u00e5tg\u00e4rder finns p\u00e5 plats.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Processor<\/em><\/p>\n\n\n\n M\u00e5nga s\u00e4kerhetsproblem kr\u00e4ver bara att n\u00e5gon ovetandes samarbetar (phishing, social engineering) och r\u00e5kar ha \u00e5tkomst till interna system. S\u00e4kerst\u00e4ll att medarbetare k\u00e4nner till riskerna.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Processor<\/em><\/p>\n\n\n\n Du beh\u00f6ver informera dina kunder om att du anv\u00e4nder underbitr\u00e4den (sub-processors). Kunden ska kunna samtycka genom att acceptera integritetspolicyn.<\/p>\n\n\n\n GDPR Article 28 \u2013 Processor<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Om du driver verksamhet utanf\u00f6r EU men samlar in data om EU-medborgare ska du utse en representant i en av medlemsstaterna. Den personen hanterar fr\u00e5gor kopplade till behandlingen, och lokala myndigheter ska kunna kontakta representanten.<\/p>\n\n\n\n GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Personuppgiftsincidenter ska rapporteras inom 72 timmar till relevant tillsynsmyndighet. Du b\u00f6r rapportera vilken data som f\u00f6rlorats, vilka konsekvenser det f\u00e5r och vilka mot\u00e5tg\u00e4rder ni har vidtagit. Om den data som l\u00e4ckt inte var krypterad beh\u00f6ver ni normalt ocks\u00e5 informera den registrerade vars uppgifter p\u00e5verkats.<\/p>\n\n\n\n GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority\nGDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Avtalet ska inneh\u00e5lla tydliga instruktioner f\u00f6r lagring\/behandling hos bitr\u00e4det. Det ska beskriva \u00e4mnet och varaktigheten f\u00f6r behandlingen, behandlingens natur och syfte, typen av personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och r\u00e4ttigheter.<\/p>\n\n\n\n Ett typiskt exempel \u00e4r avtal med webbhotell\/hosting. Samma avtalskrav g\u00e4ller n\u00e4r ett bitr\u00e4de tar in ett underbitr\u00e4de (sub-processor) f\u00f6r att utf\u00f6ra behandling f\u00f6r den personuppgiftsansvariges r\u00e4kning.<\/p>\n\n\n\n GDPR Article 28 \u2013 Processor\nGDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Ha en tydligt definierad process f\u00f6r att hantera registerutdrag\/\u00e5tkomstbeg\u00e4ran.<\/p>\n\n\n\n GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du beh\u00f6ver en mekanism d\u00e4r anv\u00e4ndare kan r\u00e4tta felaktiga uppgifter.<\/p>\n\n\n\n GDPR Article 16 \u2013 Right to rectification<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Automatisera radering d\u00e4r det g\u00e5r. Ett exempel \u00e4r att radera data f\u00f6r kunder vars avtal inte f\u00f6rnyats och d\u00e4r det inte finns annat sk\u00e4l att lagra uppgifterna.<\/p>\n\n\n\n GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Du beh\u00f6ver en process f\u00f6r raderingsbeg\u00e4ran (\u201dright to be forgotten\u201d).<\/p>\n\n\n\n GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Anv\u00e4ndare har r\u00e4tt att begr\u00e4nsa hur deras data behandlas (restriction of processing).<\/p>\n\n\n\n GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Dataportabilitet inneb\u00e4r att anv\u00e4ndare kan f\u00e5 ut sin data i ett strukturerat, allm\u00e4nt anv\u00e4nt och maskinl\u00e4sbart format.<\/p>\n\n\n\n GDPR Article 20 \u2013 Right to data portability<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Det h\u00e4r blir relevant om ni g\u00f6r profilering eller annan automatiserad beslutslogik som kan p\u00e5verka individen.<\/p>\n\n\n\n GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Om webbplatsen samlar in personuppgifter beh\u00f6ver du ha en tydlig l\u00e4nk till integritetspolicyn och bekr\u00e4fta att anv\u00e4ndaren accepterar villkoren. Samtycke kr\u00e4ver en aktiv handling \u2013 f\u00f6rkryssade rutor \u00e4r inte till\u00e5tna.<\/p>\n\n\n\n GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Texten ska vara klar och enkel och f\u00e5r inte d\u00f6lja sin avsikt. Om den \u00e4r otydlig kan samtycket i praktiken bli ogiltigt. Om ni erbjuder tj\u00e4nster till barn m\u00e5ste policyn vara s\u00e5 enkel att de kan f\u00f6rst\u00e5 den.<\/p>\n\n\n\n GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Att ta tillbaka samtycke f\u00e5r inte vara kr\u00e5ngligare \u00e4n att samtycka fr\u00e5n b\u00f6rjan.<\/p>\n\n\n\n GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n F\u00f6r barn under 16 beh\u00f6ver du s\u00e4kerst\u00e4lla att en v\u00e5rdnadshavare har gett samtycke till behandlingen. Om samtycke ges via webbplatsen b\u00f6r ni f\u00f6rs\u00f6ka verifiera att godk\u00e4nnandet faktiskt kommer fr\u00e5n v\u00e5rdnadshavaren (och inte barnet).<\/p>\n\n\n\n GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Till exempel via e-post om kommande \u00e4ndringar. Kommunikationen ska f\u00f6rklara p\u00e5 ett enkelt s\u00e4tt vad som har \u00e4ndrats.<\/p>\n\n\n\n GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n F\u00f6lj upp best practices och f\u00f6r\u00e4ndringar i er lokala milj\u00f6, och se \u00f6ver vad som faktiskt h\u00e4nder i era system och leverant\u00f6rskedjor \u00f6ver tid.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller<\/em><\/p>\n\n\n\n Det h\u00e4r g\u00e4ller fr\u00e4mst verksamheter som g\u00f6r storskalig behandling, profilering och andra aktiviteter som inneb\u00e4r h\u00f6g risk f\u00f6r individers r\u00e4ttigheter och friheter. I s\u00e5dana fall ska en DPIA (Data Protection Impact Assessment) genomf\u00f6ras.<\/p>\n\n\n\n GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n<\/div>\n\n\n\n G\u00e4ller f\u00f6r: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Om ni \u00f6verf\u00f6r personuppgifter utanf\u00f6r EU ska det ske till l\u00e4nder som erbjuder en l\u00e4mplig skyddsniv\u00e5. Ni ska ocks\u00e5 beskriva dessa gr\u00e4ns\u00f6verskridande datafl\u00f6den i integritetspolicyn. Vid \u00f6verf\u00f6ring till l\u00e4nder utan adekvat skydd anv\u00e4nder ni Standard Contractual Clauses (SCCs) eller Binding Corporate Rules (BCRs).<\/p>\n\n\n\n GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n<\/div>\n\n\n\n F\u00f6ljande r\u00e4ttigheter g\u00e4ller f\u00f6r alla registrerade (Data Subjects). H\u00e4r \u00e4r en konkret sammanst\u00e4llning av vad GDPR faktiskt kr\u00e4ver att du kan hantera.<\/p>\n\n\n\n Den personuppgiftsansvarige ska vidta l\u00e4mpliga \u00e5tg\u00e4rder f\u00f6r att ge all information om behandling i en kortfattad, transparent, begriplig och l\u00e4ttillg\u00e4nglig form, med ett klart och tydligt spr\u00e5k \u2013 s\u00e4rskilt om informationen riktas till ett barn. Informationen ska l\u00e4mnas skriftligen eller p\u00e5 annat s\u00e4tt, inklusive elektroniskt n\u00e4r det \u00e4r l\u00e4mpligt.<\/p>\n\n\n\n GDPR Article 12<\/p>\n\n<\/div>\n\n\n\n N\u00e4r ni samlar in uppgifter direkt fr\u00e5n individen ska ni l\u00e4mna specifik information, inklusive:<\/p>\n\n\n\n GDPR Article 13<\/p>\n\n<\/div>\n\n\n\n Om data kommer fr\u00e5n en annan k\u00e4lla \u00e4n individen sj\u00e4lv ska liknande information ges, inklusive kategorier av personuppgifter som ber\u00f6rs och var uppgifterna kommer ifr\u00e5n.<\/p>\n\n\n\n GDPR Article 14<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att f\u00e5 bekr\u00e4ftelse p\u00e5 om personuppgifter behandlas och f\u00e5 tillg\u00e5ng till bland annat:<\/p>\n\n\n\n GDPR Article 15<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att utan on\u00f6digt dr\u00f6jsm\u00e5l f\u00e5 felaktiga uppgifter r\u00e4ttade och ofullst\u00e4ndiga uppgifter kompletterade.<\/p>\n\n\n\n GDPR Article 16<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att f\u00e5 personuppgifter raderade n\u00e4r:<\/p>\n\n\n\n GDPR Article 17<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att f\u00e5 behandling begr\u00e4nsad n\u00e4r:<\/p>\n\n\n\n GDPR Article 18<\/p>\n\n<\/div>\n\n\n\n Den personuppgiftsansvarige ska kommunicera r\u00e4ttelse, radering eller begr\u00e4nsning till varje mottagare som f\u00e5tt uppgifterna, om det inte \u00e4r om\u00f6jligt eller kr\u00e4ver oproportionerlig anstr\u00e4ngning.<\/p>\n\n\n\n GDPR Article 19<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att f\u00e5 sina personuppgifter i ett strukturerat, allm\u00e4nt anv\u00e4nt och maskinl\u00e4sbart format och r\u00e4tt att \u00f6verf\u00f6ra dem till en annan personuppgiftsansvarig utan hinder.<\/p>\n\n\n\n GDPR Article 20<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att n\u00e4r som helst inv\u00e4nda mot behandling som bygger p\u00e5 ber\u00e4ttigat intresse eller allm\u00e4nt intresse, inklusive profilering, baserat p\u00e5 sin specifika situation.<\/p>\n\n\n\n GDPR Article 21<\/p>\n\n<\/div>\n\n\n\n Individen har r\u00e4tt att inte bli f\u00f6rem\u00e5l f\u00f6r ett beslut som enbart baseras p\u00e5 automatiserad behandling, inklusive profilering, om beslutet f\u00e5r r\u00e4ttsliga f\u00f6ljder eller p\u00e5 liknande s\u00e4tt p\u00e5verkar individen v\u00e4sentligt.<\/p>\n\n\n\n GDPR Article 22<\/p>\n\n<\/div>\n\n\n\n Om webbplatsen anv\u00e4nder icke-n\u00f6dv\u00e4ndiga cookies beh\u00f6ver du uttryckligt samtycke innan de aktiveras.<\/p>\n\n\n\n En cookie-banner som h\u00e5ller f\u00f6r granskning beh\u00f6ver uppfylla f\u00f6ljande:<\/p>\n\n\n\n Scroll eller passivitet r\u00e4knas inte som samtycke.<\/p>\n\n<\/div>\n\n\n\n Alla formul\u00e4r som samlar in personuppgifter m\u00e5ste vara GDPR-anpassade:<\/p>\n\n\n\n Driver du WordPress \u00e4r mycket av GDPR-arbetet hands-on: plugins, teman och tredjepartsskript kan skapa nya datafl\u00f6den utan att du t\u00e4nker p\u00e5 det.<\/p>\n\n\n\n GDPR har tv\u00e5 niv\u00e5er av sanktionsavgifter:<\/p>\n\n\n\n Ut\u00f6ver b\u00f6ter kan myndigheter ocks\u00e5:<\/p>\n\n\n\n En GDPR-checklista \u00e4r en lista med \u00e5tg\u00e4rder du beh\u00f6ver genomf\u00f6ra f\u00f6r att f\u00f6lja GDPR. Den hj\u00e4lper dig hitta f\u00f6rb\u00e4ttringsomr\u00e5den i hur du skyddar och hanterar personuppgifter.<\/p>\n\n\n\n Data controller (typiskt webbplats\u00e4garen\/f\u00f6retaget) har huvudansvaret. Data processors har ocks\u00e5 egna skyldigheter att uppfylla GDPR.<\/p>\n\n\n\n Ja, om du behandlar personuppgifter om personer i EU \u2013 oavsett var f\u00f6retaget \u00e4r etablerat.<\/p>\n\n\n\n Upp till 20 miljoner euro eller 4 % av \u00e5rlig global oms\u00e4ttning, beroende p\u00e5 vilket som \u00e4r h\u00f6gst.<\/p>\n\n\n\n Ja, om webbplatsen anv\u00e4nder icke-n\u00f6dv\u00e4ndiga cookies och du har bes\u00f6kare i EU.<\/p>\n\n\n\n Bara om: (1) ni \u00e4r en myndighet\/offentligt organ, (2) k\u00e4rnverksamheten kr\u00e4ver storskalig, systematisk \u00f6vervakning av individer, eller (3) ni behandlar k\u00e4nsliga uppgifter i stor skala.<\/p>\n\n\n\n Den h\u00e4r checklistan \u00e4r en generell guide och ska inte ses som juridisk r\u00e5dgivning. Ta hj\u00e4lp av kvalificerad jurist f\u00f6r r\u00e5d som passar er situation.<\/p>\n\n<\/div>\n\n\n GDPR \u00e4r inte en eng\u00e5ngsbanner l\u00e4ngst ner p\u00e5 sajten \u2013 det \u00e4r en hel kedja av processer, avtal, loggar och r\u00e4ttigheter som m\u00e5ste fungera. H\u00e4r \u00e4r en komplett checklista som hj\u00e4lper dig s\u00e4kra b\u00e5de webbplatsen och organisationen, punkt f\u00f6r punkt.<\/p>\n","protected":false},"author":60,"featured_media":160,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[85,83,81,82,10],"class_list":["post-161","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sakerhet","tag-compliance","tag-cookies","tag-gdpr","tag-integritet","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/posts\/161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/users\/60"}],"replies":[{"embeddable":true,"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/comments?post=161"}],"version-history":[{"count":0,"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/posts\/161\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/media\/160"}],"wp:attachment":[{"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/media?parent=161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/categories?post=161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/helloblog.io\/sv\/wp-json\/wp\/v2\/tags?post=161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Referens<\/h4>\n\n\n
Ni har en lista \u00f6ver alla platser d\u00e4r personuppgifter lagras och hur data fl\u00f6dar mellan dem<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni har en publikt tillg\u00e4nglig integritetspolicy som beskriver alla processer kopplade till personuppgifter<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Integritetspolicyn anger en laglig grund (lawful basis) f\u00f6r varf\u00f6r ni beh\u00f6ver behandla personuppgifter<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
2) Ansvar & styrning (Accountability & Management)<\/h3>\n\n\n\n
Ni har utsett ett dataskyddsombud (DPO) n\u00e4r det kr\u00e4vs<\/h4>\n\n\n\n
\n\n
Referens<\/h4>\n\n\n
Ni skapar medvetenhet hos beslutsfattare om GDPR-riktlinjer<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni s\u00e4kerst\u00e4ller att den tekniska s\u00e4kerheten \u00e4r uppdaterad<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni utbildar personal s\u00e5 att de \u00e4r medvetna om dataskydd<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni har en lista \u00f6ver sub-processors och n\u00e4mner anv\u00e4ndningen av dem i er integritetspolicy<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Om verksamheten \u00e4r utanf\u00f6r EU har ni utsett en representant inom EU<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni rapporterar personuppgiftsincidenter till myndighet och till ber\u00f6rda registrerade<\/h4>\n\n\n\n
Referenser<\/h4>\n\n\n
Ni har avtal med alla processors som ni delar data med<\/h4>\n\n\n\n
Referenser<\/h4>\n\n\n
3) Nya r\u00e4ttigheter (funktioner och processer som m\u00e5ste fungera)<\/h3>\n\n\n\n
Kunder\/anv\u00e4ndare kan enkelt beg\u00e4ra tillg\u00e5ng till sina personuppgifter<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Kunder\/anv\u00e4ndare kan enkelt uppdatera sina uppgifter s\u00e5 att de \u00e4r korrekta<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni raderar automatiskt data som ni inte l\u00e4ngre beh\u00f6ver<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Kunder\/anv\u00e4ndare kan enkelt beg\u00e4ra radering av sina personuppgifter<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Kunder\/anv\u00e4ndare kan enkelt beg\u00e4ra att ni slutar behandla deras uppgifter<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Kunder\/anv\u00e4ndare kan enkelt beg\u00e4ra att f\u00e5 sin data levererad till sig sj\u00e4lva eller en tredje part<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Kunder\/anv\u00e4ndare kan enkelt inv\u00e4nda mot profilering eller automatiserat beslutsfattande som kan p\u00e5verka dem<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
4) Samtycke (Consent)<\/h3>\n\n\n\n
N\u00e4r behandling bygger p\u00e5 samtycke m\u00e5ste samtycket vara frivilligt, specifikt, informerat och \u00e5terkalleligt<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Integritetspolicyn \u00e4r skriven med tydliga och begripliga formuleringar<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Det \u00e4r lika enkelt att \u00e5terkalla samtycke som att ge det<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Om ni behandlar barns personuppgifter verifierar ni \u00e5lder och inh\u00e4mtar v\u00e5rdnadshavares samtycke<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
N\u00e4r ni uppdaterar integritetspolicyn informerar ni befintliga kunder\/anv\u00e4ndare<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
5) Uppf\u00f6ljning (Follow-up)<\/h3>\n\n\n\n
Ni granskar regelbundet policys: \u00e4ndringar, effektivitet, f\u00f6r\u00e4ndrad datahantering och f\u00f6r\u00e4ndringar i l\u00e4nder som data fl\u00f6dar till<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
6) Specialfall (Special Cases)<\/h3>\n\n\n\n
Ni vet n\u00e4r ni m\u00e5ste g\u00f6ra en DPIA vid h\u00f6griskbehandling av k\u00e4nsliga uppgifter<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Ni \u00f6verf\u00f6r bara data utanf\u00f6r EU till l\u00e4nder med adekvat skyddsniv\u00e5 \u2013 och redovisar \u00f6verf\u00f6ringarna<\/h4>\n\n\n\n
Referens<\/h4>\n\n\n
Registrerades r\u00e4ttigheter (Data Subject Rights) \u2013 vad din l\u00f6sning m\u00e5ste st\u00f6dja<\/h2>\n\n\n\n
R\u00e4tt till transparent information<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till specifik information n\u00e4r personuppgifter samlas in direkt<\/h3>\n\n\n\n
\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till specifik information n\u00e4r personuppgifter inte samlas in direkt<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till tillg\u00e5ng (Right of access)<\/h3>\n\n\n\n
\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till r\u00e4ttelse (Right to rectification)<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till radering (Right to erasure \/ \u201cright to be forgotten\u201d)<\/h3>\n\n\n\n
\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till begr\u00e4nsning av behandling (Right to restriction of processing)<\/h3>\n\n\n\n
\n\n
Referens<\/h4>\n\n\n
R\u00e4tt att bli underr\u00e4ttad om r\u00e4ttelse, radering eller begr\u00e4nsning<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
R\u00e4tt till dataportabilitet (Right to data portability)<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
R\u00e4tt att inv\u00e4nda (Right to object)<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
R\u00e4tt att inte bli f\u00f6rem\u00e5l f\u00f6r automatiserat beslutsfattande<\/h3>\n\n\n\n
Referens<\/h4>\n\n\n
Praktiska implementationsteg f\u00f6r webbplats\u00e4gare<\/h2>\n\n\n\n
1. S\u00e4kra webbplatsen<\/h3>\n\n\n\n
\n\n
2. L\u00e4gg till en cookie-banner med korrekt samtycke<\/h3>\n\n\n\n
\n\n
Viktigt<\/h4>\n\n\n
3. G\u00e5 igenom alla formul\u00e4r p\u00e5 webbplatsen<\/h3>\n\n\n\n
\n\n
4. Inh\u00e4mta samtycke f\u00f6r marknadsf\u00f6ringsmejl<\/h3>\n\n\n\n
\n\n
5. F\u00f6rbered er f\u00f6r personuppgiftsincidenter (data breaches)<\/h3>\n\n\n\n
\n\n
WordPress-specifikt: saker som ofta gl\u00f6ms bort<\/h2>\n\n\n\n
\n\n
Sanktionsavgifter och andra \u00e5tg\u00e4rder vid bristande efterlevnad<\/h2>\n\n\n\n
\n\n
\n\n
FAQ: vanliga fr\u00e5gor om GDPR f\u00f6r webbplats\u00e4gare<\/h2>\n\n\n\n
Vad \u00e4r en GDPR compliance checklist?<\/h3>\n\n\n\n
Vem \u00e4r ansvarig f\u00f6r GDPR-efterlevnad?<\/h3>\n\n\n\n
G\u00e4ller GDPR f\u00f6r amerikanska f\u00f6retag?<\/h3>\n\n\n\n
Vilket \u00e4r det h\u00f6gsta straffet vid bristande efterlevnad?<\/h3>\n\n\n\n
M\u00e5ste jag ha en cookie-banner?<\/h3>\n\n\n\n
Beh\u00f6ver jag ett dataskyddsombud (DPO)?<\/h3>\n\n\n\n
Ansvarsfriskrivning<\/h4>\n\n\n
Referenser \/ K\u00e4llor<\/h2>\n