Du skall känna dig trygg som kund hos oss!
Vi behandlar personuppgifter i enlighet med EU’s nya GDPR-lag. Nedan kan du läsa mer om hur vi gör, var vi gör det och varför.
Om du behöver hjälp att implementera GDPR för ditt företag, så kan du läsa mer om det här och kontakta oss.
GDPR policy
Översikt
I detta dokumentet kan du läsa om hur, var och varför vi behandlar personuppgifter och respekterar GDPR (General Data Protection Regulation) policy i enlighet med EU’s nya krav, som ersätter den tidigare Svenska PUL-lagen den 25 maj 2018.
Dataskyddsombud (DPO)
Hos Idéplanket är det Peter Frandsen som är DPO (Data Protection Officer) som ansvarar för att vi följer GDPR. Han kan kontaktas via vår kontaktsida här på hemsidan.
Våra kunders hemsidor och internettjänster
Även om vi ej är ansvariga för våra kunders hemsidor och nättjänster ur detta GDPR perspektiv, så uppmanar vi även dom att följa den nya GDPR-lagen och självklart hjälper vi även dom att implementera den. Se våra konsulttjänster för mer information om det.
Så kommer du igång med GDPR-arbetet
Redan den 25 maj blir GDPR verklighet och många företagare undrar fortfarande vad de måste göra. Här besvarar Louise Dufwa, jurist på avtal24, några av de vanligaste frågorna.
Alla företag behöver göra något och många företag kommer att behöva göra mycket, enligt Louise Dufwa. De bolag som inte följer GDPR kan drabbas av höga sanktionsavgifter.
Vilka är de viktigaste sakerna att tänka på?
Företaget ska ha kontroll på hur, var och varför man behandlar personuppgifter. Viktiga delar i detta är att:
- Dokumentera alla behandlingar
Dokumentera alla behandlingar av personuppgifter i företaget och gör så att ni kan visa att ni uppfyller kraven. Beskriv syftet med behandlingen, hur länge ni sparar uppgifterna och på vilken laglig grund ni behandlar uppgifterna.
- Informera era kunder och andra
Företaget har en skyldighet att informera kunder, leverantörer och andra om ni hanterar personuppgifter. Detta kan göras i en så kallad integritetspolicy som ska vara lättillgänglig och som kan publiceras på företagets hemsida.I policyn ska det bland annat framgå vilka personuppgifter ni samlar in, vilket syftet är och hur länge informationen sparas.Gå även igenom företagets befintliga avtal för att se om dessa behöver kompletteras eller skrivas om för att uppfylla de nya kraven.
- Säkerställ rutiner
GDPR ställer krav på att företag ska kunna visa att uppgifter som samlats in antingen skett på laglig grund eller med ett uttryckligt samtycke.De registrerade har de rätt att få tillgång till sina uppgifter och få dem rättade vid behov. De har även rätt att i vissa fall få dem raderade eller flyttade (kallas dataportabilitet).Företaget bör också ha rutiner för hur man ska agera om en så kallad personuppgiftsincident inträffar (när någon obehörig fått tillgång till personuppgifterna).
- Skriv Personuppgiftsbiträdesavtal
Om ni samarbetar med ett företag som behandlar personuppgifter för er räkning behöver ni upprätta ett personuppgiftsbiträdesavtal. Det kan till exempel vara ett företag som behandlar era löner, redovisning, delar av er marknadsföring och mycket annat.
Ni kan inte delegera ansvaret till personuppgiftsbiträdet men med ett avtal säkerställer ni att ni är överens om alla villkor för behandlingen.
Enligt GDPR är det den personuppgiftsansvarige som ansvarar för att avtalet finns på plats.
//
//
Bli redo för GDPR – kan ge miljonböter vid fel
Har du någon form av kundregister? I så fall betyder det att även du omfattas av nya dataskyddsförordningen, GDPR. Se till att förbereda dig redan nu, annars kan det bli dyrt!
Den 25 maj 2018 ersätts PuL (personuppgiftlagen) av den nya dataskyddsförordningen, GDPR (General Data Protection Regulation). I korthet handlar det om att personer som finns i dina register har rätt att bli borttagna. Och det ställer i sin tur krav på hur du hanterar uppgifterna.
Rent praktiskt innebär det att ditt företag måste ha nya rutiner på plats för att stärka skyddet och rättigheterna för de personer vars uppgifter registreras.
Men har du det? När säkerhetsföretaget NTT Security beställde en undersökning om hur väl företagen känner till den nya lagen, visade det sig att mer än hälften av dem som svarade inte trodde att den berör dem. Det är fel. Nästan alla företag berörs.
GDPR gäller alla företag som har något slags personregister, som till exempel kundregister eller register över egna personalen. Delar du dina kunduppgifter med en tredje part, som en distributör till exempel, blir du skyldig att ha kontroll på vilka filer som tredje parten får del av. Den ska sedan hantera filerna i enlighet med nya lagen.
Den stora skillnaden mot gamla PuL är att den som inte hanterar sina register rätt riskerar sanktionsavgifter som kan bli ända upp till fyra procent av företagets totala omsättning.
Det betyder att om ditt bolag omsätter exempelvis 30 miljoner kronor kan avgifterna uppgå upp till hela 1,2 miljoner kronor i avgifter om lagen inte följs.
En annan viktig nyhet är att företag med komplex behandling av personuppgifter kan komma att behöva ett dataskyddsombud. De stora företagen har redan börjat utse sådana, ofta med titeln DPO (Data Protection Officer).
Ett av de viktigaste inslagen i den nya lagen är att företaget eller organisationen ska kunna uppvisa att förordningen följs. Du måste alltså ha dokumentation.
GDPR ska gälla i hela EU, men därutöver har varje land rätt att komplettera med egna regler. I Sverige har regeringen redan kommit med ett sådant kompletteringsförslag, och ytterligare ett är att vänta.
En följd av det blir troligen att man i Sverige kommer att fortsätta hantera personnummer på samma sätt som idag, det vill säga att du som företag måste kunna förklara varför du använder personnummer, och du får inte använda dem mer än nödvändigt för ändamålet.
Se det som att du inte äger uppgifterna, utan lånar dem. Då har du kommit en bit på vägen!
Och tänk på att vara transparent med hur du använder och skyddar uppgifterna. Det kan också vara ett sätt att bygga förtroende.
Checklista
Nedan listar advokat Claes Månsson, som har lång erfarenhet av personuppgiftsjuridik, ett antal punkter. De är en bra start för att kartlägga företagets behandling av personuppgifter.
- Vilka it-system har företaget för att registrera personuppgifter?
- För vilket ändamål registreras dessa personuppgifter?
- Är uppgifterna nödvändiga för att företaget ska kunna utföra sin affär?
- Minimera antalet uppgifter, minimera lagringstiden.
- Gallra! Många företag slarvar och har kvar exempelvis gamla kunder i sina register. Bestäm när och hur ofta gallringen ska ske.
- Inför en strikt informationsstrategi för när och hur företaget ska överföra information till de registrerade.
- Sträva efter öppenhet. Det ska framstå som självklart för den registrerade att företaget både behöver uppgifterna och att uppgifterna behandlas på det aktuella viset.
- Säkerhetsfrågor som åtkomstskydd, behörighetskontroll och loggning är viktiga ska kunna kontrolleras.
- Utlämnande av uppgifter utanför EU kräver särskild regelefterlevnad.
6 frågor att svara på
Svara på frågorna här nedan och kom igång med GDPR i ditt företag. Ha ett särskilt dokument för dina svar, som du kan ta fram om Datainspektionen kommer.
1.Vilka uppgifter hanterar ni?
Inventera och dokumentera vilka personuppgifterna är, hur de samlas in och till vem uppgifterna lämnas ut. Det kan vara kundregister, prospektlistor, medlemslistor och kontaktlistor.
2. Vilken information lämnar ni?
Granska den information ni lämnar om/till de personer som är registrerade hos er och tänk igenom vilka förändringar som kan bli nödvändiga. Det kan handla om hur, varför och till vem ni skickar ut reklam och erbjudanden.
3. Används missbruksregeln?
I PuL fanns ett undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Med ostrukturerat material menas exempelvis e-post och enklare namnlistor som du har i datorn. Missbruksregeln försvinner nu, vilket innebär att om ditt företag i dag stödjer sig på den måste ni ändra rutiner.
4. Hur ska ni möta de registrerades rättigheter?
Hur ser rutinerna ut när någon begär en rättelse i era system? Kan era system hjälpa er att hitta och rätta uppgifterna? Vem beslutar om att uppgifter ska rättas? GDPR kallas ibland för ”lagen om rätten att bli bortglömd”. Alla som finns i dina register ska ha rätt att bli helt borttagna. Klarar ditt företag det?
5. Hur ser ni till att registreringen är laglig?
Det finns olika grunder för att få hålla ett personregister. En sådan grund är samtycke. Men direkt samtycke från de registrerades sida är ofta inte möjligt. Du kan ha registret på andra grunder, till exempel för att:
- Fullgöra ett avtal.
- Fullgöra en laglig förpliktelse.
- Fullgöra ett enskilt intresse (ditt företags intresse väger tyngre än den enskildes).
Det viktiga är att den registrerade ska kunna bli borttagen från ditt register.
6. Vem/vilka ansvarar för dataskyddsfrågor?
Bestäm vem i organisationen som har ansvaret för dataskyddsfrågor, annars riskerar det att falla mellan stolarna.
//
- Krav på samtycke vid registrering av personuppgifter.
- Kryssruta för samtycke vid digital registrering och tydlig hänvisning till text om GDPR och hur du behandlar uppgifterna. (som t.ex. denna text).
- Du behöver hålla koll på varför du behandlar en viss persons personuppgifter.
- Rätten att bli bortglömd.
- En person har rätt att få veta vilka personuppgifter som behandlar om den.
- Anonymisering / pseudonymisering av personuppgifter som du inte längre har rätt att behandla.
//
1. Lorem ipsum…
dfgdfgdfg
2. © Copyright
2.1 Detta dokument är skapat av och är copyright Idéplanket Webbyrå. Du kan få använda denna information om du först kontaktar Idéplanket. Missbruk beivras.
6. Receipt of unwanted messages from us
6.1 In the unlikely event that you receive any message from us or sent using our systems that may be considered to be spam, please contact at us via the mailadress support@ideplanket.se and the matter will be investigated.
7. Variation
7.1 We may amend this policy at any time by publishing a new version on our website.
8. Our details
8.1 This website is owned and operated by Idéplanket KB.
8.2 Our principal place of business is in Rimbo, Stockholm, Sweden.
8.3 You can contact us via our website contact form here. On our contact page you will also find info on how to contact us via post, phone or mail.
Uppdaterat 2018-05-03 av Idéplanket.
(A English version of this document will be available shortly…)