Vårt system och GDPR

Detta är en sammanfattning av frågor som rör GDPR, för system där AddMobile är leverantör och så kallat ”Personuppgiftsbiträde” till sina kundföretag. Vi redovisar också åtgärder som AddMobile arbetar med för att underlätta kundföretagets ansvar som ”Personuppgiftsansvarig”.

Vad är GDPR?

Den 25 maj 2018 ersattes Personuppgiftslagen (PuL) från 1998 av EU:s Allmänna Dataskyddsförordning, GDPR (General Data Protection Regulation). Det är en lag som är gemensam för alla EU/EES-länder (d v s EU-länderna, samt Norge, Island och Liechtenstein). Reglerna gäller för alla som hanterar personuppgifter inom EU/EES. Lagen gäller även aktörer utanför detta område när de behandlar uppgifter om individer inom EU/EES.

Syftet – att skydda privatpersoners personliga integritet

Syftet med GDPR är att förstärka skyddet för privatpersoners integritet vid databehandling av ”personuppgifter”, alltså alla tänkbara uppgifter som gäller en viss individ (till exempel adress, telefonnummer, kön, personnummer, personliga preferenser, inköpshistorik och så vidare). Lagen ger individen rätt till större insyn och möjlighet att påverka hur hans eller hennes uppgifter behandlas. En grundprincip i lagen är att man inte får behandla personuppgifter mer än nödvändigt, med tanke på ändamålen, det vill säga att man hela tiden ska begränsa behandlingen, till exempel mängden uppgifter, tiden man sparar dem etcetera.

Vad gäller för er som företag/Personuppgiftsansvarig?

Personuppgifter hanteras av de flesta företag. Det kan till exempel vara uppgifter om företagets egna anställda eller kontaktpersoner hos kunder och leverantörer. Som företag är ni ansvariga för att insamling och hantering av personuppgifter görs på ett korrekt sätt och att ni informerar om vad ni gör, vilket i hög grad handlar om rutiner och förståelse bland anställda och användare av systemen. Ni som företag är Personuppgiftsansvarig, och måste bland annat ha koll på vilka uppgifter ni behandlar, för vilka ändamål och en hel del annat. Teknisk och organisatorisk datasäkerhet, det vill säga att skydda uppgifterna mot obehörig åtkomst, förstöring eller förändring är också viktigt. Böterna för att inte följa förordningen kan uppgå till 20 miljoner Euro eller 4 % av årsomsättningen.

Vad behöver ni göra som Personuppgiftsansvarigt företag (PuA)?

Som företag behöver ni, för varje system ni använder (till exempel Excel, Word och hemsidor) redovisa vilka personuppgifter ni behandlar (till exempel lagrar) och i vilket syfte. Så länge uppgifterna har laglig grund, era syften är i linje med lagen och ni enbart använder uppgifterna till det ni redovisar, har ni rätt att behandla informationen. Förutom att informera berörda personer om vad ni behandlar för typ av uppgifter och till vilket syfte, behöver ni på begäran kunna redovisa för en individ vilka uppgifter ni har om honom eller henne. Ni behöver också ha rutiner för att på lämpliga sätt rensa bort uppgifter som inte längre fyller sitt syfte ur systemen. Som Personuppgiftsansvarigt företag ska ni upprätta Personuppgiftsbiträdesavtal (PuB-avtal) med de leverantörer som behandlar personuppgifter åt ert företag, inklusive AddMobile. Många företag skall också bland annat tillsätta, och redovisa vem som är Dataskyddsombud – den person som svarar för uppgifter kring era personuppgifter. Observera att ett Dataskyddsombud inte är bär ansvaret för att lagen följs – han eller hon är en intern resurs och kontaktperson i personuppgiftsfrågor.

Vad gör AddMobile?

För att underlätta processen för er som kund, har AddMobile gjort en genomgång av systemkoncepten Projekthantering, Körjournal och Personalliggare. Vi har svarat på grundläggande frågor som ni kan använda när ni ska redovisa syftet med och grunden till att ni lagrar personuppgifter i AddMobile Toolbox. Den ska ses som en mall eller ett exempel, den verkliga dokumentationen måste ni genomföra.

Vi har också tagit fram ett Personuppgiftsbiträdesavtal (PuB-avtal) som enkelt kan upprättas mellan Er och AddMobile. Det är obligatoriskt att upprätta ett sådant avtal och detta har skickats till er för godkännande. Vi ber er också om vissa uppgifter som vi är skyldiga att registrera. Om vi inte får in obligatoriska avtal och uppgifter kan vi ytterst bli tvungna att stänga av de tjänster som ni använder. Det är därför mycket viktigt, både för er och för vår del, att ni ser till att detta besvaras.

I systemen finns det rutiner för att redovisa, rensa och anonymisera personuppgifter för att möjliggöra er hantering av era skyldigheter som personuppgiftsansvarigt företag.

När det gäller datasäkerheten kan vi ta hand om skyddet i vår ände, med säkra tekniska lösningar. Ni som kund bör se till att ni använder de senaste versionerna av våra system. Men minst lika viktigt är att ni ställer in och använder systemen på rätt sätt, att varje person har tillgång till rätt information för sina arbetsuppgifter och att inga obehöriga har åtkomst till informationen.

Om ni har GDPR-frågor som rör AddMobiles system får ni gärna höra av er på gdpr@addmobile.se.

Rekommenderade länkar med mer information om GDPR

Datainspektionens sammanfattade information om GDPR, med en hel del länkar med mer information och även korta filmer med information:
https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/

En guide hos verksamt.se som steg för steg ger information och ger er som företag koll på hur ni ligger till i ert GDPR-arbete.