GDPR

Frågor och svar kring EU:s Allmänna Dataskyddsförordning ”GDPR”

Detta är en sammanfattning av frågor som rör ”GDPR”, för system där AddMobile är leverantör och så kallat ”Personuppgiftsbiträde” till sina kundföretag. Vi redovisar också åtgärder som AddMobile ar­be­tat med
för att underlätta kundföretagets ansvar som ”Personuppgiftsansvarig”.

Vad är GDPR?

Den 25 maj 2018 ersätts den Personuppgiftslagen (PuL) från 1998 av EU:s Allmänna Dataskydds­förordning, ”GDPR” (General Data Protection Regulation). Det är en lag som är gemensam för alla EU/EES-länder (d v s EU-länderna, samt Norge, Island och Liech­tenstein). Reglerna gäller för alla som hanterar personuppgifter inom EU/EES. Lagen gäller även aktörer utanför detta område när de behandlar upp­gifter om individer inom EU/EES.

Syftet – att skydda privatpersoners personliga integritet

Syftet med GDPR är att förstärka skyddet för privatpersoners integritet vid databehandling av ”personuppgifter”, alltså alla tänkbara uppgifter som gäller en viss individ (t ex adress, telefonnummer, kön, personnummer, per­sonliga preferenser, inköpshistorik o s v). Lagen ger individen rätt till större insyn och möjlighet att påverka hur hans eller hennes uppgifter behandlas. En grundprincip i lagen är att man inte får behandla personuppgifter mer än nödvändigt, med tanke på ändamålen, d v s att man hela tiden ska begränsa behandlingen, t ex mängden uppgifter, tiden man sparar dem etc.

Vad gäller för er som företag/Personuppgiftsansvarig?

Personuppgifter hanteras av de flesta företag. Det kan t.ex. vara uppgifter om företagets egna anställda eller kontakt­per­soner hos kunder och leverantörer. Som företag är ni ansvariga för att insamling och hantering av person­uppgifter görs på ett korrekt sätt och att ni informerar om vad ni gör, vilket i hög grad handlar om rutiner och förståelse bland anställda och an­vän­dare av systemen. Ni som företag är Personuppgiftsansvarig, och måste bland annat ha koll på vilka upp­gifter ni behandlar, för vilka ändamål och en hel del annat. Teknisk och organisa­torisk datasäkerhet, dvs att skydda uppgifterna mot obehörig åtkomst, förstöring eller förändring är också viktigt. Böterna för att inte följa förordningen kan uppgå till 20 miljoner Euro eller 4 % av årsomsättningen.

Vad behöver ni göra som Personuppgiftsansvarigt företag (PuA)?

Som företag behöver ni, för varje system ni använder (t.ex. Excel, Word och hemsidor) redovisa vilka personuppgifter ni behandlar (t ex lagrar) och i vilket syfte. Så länge uppgifterna har laglig grund, era syften är i linje med lagen och ni enbart använder uppgifterna till det ni redovisar, har ni rätt att behandla informationen. Förutom att informera berörda personer om vad ni behandlar för typ av uppgifter och till vilket syfte, behöver ni på begäran kunna redovisa för en individ vilka uppgifter ni har om honom eller henne. Ni behöver också ha rutiner för att på lämpliga sätt rensa bort uppgifter som inte längre fyller sitt syfte ur systemen. Som Personuppgiftsansvarigt företag ska ni upprätta Personuppgiftsbiträdesavtal (PuB-avtal) med de leverantörer som behandlar personuppgifter åt ert företag, inklusive AddMobile. Många företag skall också bland annat tillsätta, och redovisa vem som är Dataskyddsombud – den person som svarar för uppgifter kring era personuppgifter. Observera att ett Dataskyddsombud INTE är bär ansvaret för att lagen följs – han eller hon är en intern resurs och kontaktperson i personuppgiftsfrågor.

Vad gör AddMobile?

För att underlätta processen för er som kund, har AddMobile gjort en genomgång av systemkoncepten Arbets­order, Körjournal och Personalliggare. Vi har svarat på grundläggande frågor som ni kan använda när ni ska redo­visa syftet med och grunden till att ni lagrar personuppgifter i AddMobile Toolbox. Den ska ses som en mall eller ett exempel, den verkliga dokumentationen måste ni genomföra.

Vi har också tagit fram ett Personuppgifts­biträdesavtal (PuB-avtal) som enkelt kan upprättas mellan Er och AddMobile. Det är obligatoriskt att upprätta ett sådant avtal och ett förslag kommer att distribueras till er inom kort. Vi kommer också att be er om vissa upp­gifter som vi är skyldiga att registrera. Om vi inte får in obligatoriska avtal och uppgifter kan vi ytterst bli tvungna att stänga av tjänster som ni använder. Det är därför mycket viktigt, både för er och för vår del, att ni ser till att detta besvaras snabbt.

I systemen kommer det också att finnas rutiner för att redovisa, rensa och anonymisera personuppgifter för att möjlig­göra er hantering av era skyldigheter som personuppgiftsansvarigt företag.

När det gäller datasäkerheten kan vi ta hand om skyddet i vår ände, med säkra tekniska lösningar. Ni som kunder bör se till att ni använder de senaste versionerna av våra system. Men minst lika viktigt är att ni ställer in och an­vänder systemen på rätt sätt, att varje person har tillgång till rätt information för sina arbetsuppgifter och att inga obehöriga har åtkomst till informationen.

Om ni har GDPR-frågor som rör AddMobiles system får ni gärna höra av er på gdpr@addmobile.se

 

Rekommenderade länkar med mer information om GDPR

Datainspektionens sammanfattade information om GDPR, med en hel del länkar med mer information och även korta filmer med information:
https://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/

En guide som steg för steg ger information och ger er som företag koll på hur ni ligger till i ert GDPR-arbete:
https://www.verksamt.se/driva/gdpr-dataskyddsregler/gdpr-guiden

För GDPR-frågor som rör AddMobiles system kan ni höra av er på gdpr@addmobile.se

Beställ personalliggare Support Kontakta oss Vill du veta mer?