Vad är GDPR?
EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Den kommer att stärka skyddet och rättigheterna för den som får sina personuppgifter behandlade. Förordningen börjar gälla den 25 maj 2018 och kallas Dataskyddsförordningen eller GDPR (General Data Protection Regulation). Förordningen kommer gälla direkt i alla EU:s medlemsländer och ersätter nationella regler, som till exempel svenska personuppgiftslagen PUL (personuppgiftslagen).

Vem berörs?
GDPR gäller för alla som behandlar personuppgifter, både när man bestämmer själv över behandlingen som personuppgiftsansvarig (restaurangen) och när man utför den på uppdrag av någon annan som personuppgiftsbiträde (WaiterAid).

Det mesta är oförändrat
Mycket i GDPR liknar de regler som finns i PUL. På samma sätt som idag får man behandla personuppgifter med stöd av samtycke från de registrerade, för att uppfylla ett avtal eller efter en intresseavvägning till exempel. De registrerade kommer även i fortsättningen att ha rätt till information om den personuppgiftsbehandling som sker – och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är frågan om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.

Varför ändras lagstiftningen?
Ett av syftena med dataskyddsförordningen är just att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dataskyddsförordningen har också till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet av uppgifter inom unionen inte hindras. Detta uppnås genom att förordningen är direkt tillämplig i de olika medlemsstaterna och att samma regler gäller inom hela unionen. Andra syften med att ta fram en ny dataskyddsförordning har varit att modernisera dataskyddsdirektivets regler från 1995 och att anpassa dessa till det nya digitala samhället.

Vad händer om jag inte följer GDPR?
Du kan behöva betala böter. Om du inte följer de här nya reglerna kan din verksamhet få böta ett mycket högt belopp. Avgifterna är olika beroende på hur stort lagbrottet är, men kan vara upp till 4% av din årliga globala omsättning eller 20 miljoner euro.

En nyhet i GDPR är kännbara sanktionsavgifter om man bryter mot reglerna. Avgiften ska bedömas utifrån hur allvarlig överträdelsen är, om det skett avsiktligt eller inte, vilka åtgärder man har vidtagit för att minska skadan, om man tjänat ekonomiskt på överträdelsen och andra försvårande eller förmildrande omständigheter.

Vad är det som förändras?

Samtycke
När du ber om kunders medgivande för att skicka mail från ditt företag måste du vara tydlig och specifik med vad det är de samtycker till. Du måste använda ett tydligt och vanligt språk som alla förstår. Samtycke till marknadskommunikation från din restaurang måste vara frivilligt och du får inte länge använda förklickade boxar eller automatiserade godkännanden.

Waiteraid har löst detta. I god tid innan GDPR träder i kraft kommer vi bokningswidget att göra det tydligare när gästen skall bekräfta sin bokning. Gästen kommer att godkänna villkor och sedan därutöver aktivt tala om huruvida de vill ha marknadsföring från restaurangen och/eller från BokaBord.

Användarvillkor
Villkor och integritetsmeddelanden på till exempel din hemsida får inte ha dolda automatiska medgivanden, måste vara lättlästa och får inte vara fulla av jargong eller komplicerade lagtekniska ord och formuleringar.

WaiterAid har i uppdaterat sina villkor så att det är tydligt hur vi samlar in uppgifter (vid bokning), när och hur de kan användas (för bekräftelser och kommunikation rörande restaurangbokning) och vilka möjligheter som finns att anmäla sig för nyhetsbrev (något som i framtiden aktiv handling från gästen.)

De registrerades rättigheter
Gäster (de registrerade) måste kunna spåra eventuella förändringar i den information som restaurangen har samlat in och lagrat. Kunder har också rätt att kräva en elektronisk kopia på informationen utan kostnad. Kunder kan närsomhelst och utan anledning dra tillbaka sitt samtycke och få sin information raderad.

WaiterAid har tjänster i admin som kommer att göra det lätt att hitta vilken information som finns sparad och samtidigt en möjlighet att radera information om gästen.

Globalt
Dataskyddsförordningen gäller för alla företag som samlar information om EU-medborgare oavsett de är inom EU för tiden vid insamlandet eller ej.

Personuppgifter
Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter. Till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om det inte nämns några namn i in spelningen. Ett bolagsnummer är ofta inte en personuppgift men är det om det handlar om en enskild näringsverksamhet. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kan ske inte är en personuppgift. Nytt med GDPR är att även IP-nummer klassas som personuppgift.