Dataskyddsförordningen (GDPR) är en ny EU-förordning som börjar gälla 25 maj 2018 och ersätter den tidigare personuppgiftslagen (PuL). Alla företag och organisationer som hanterar personuppgifter omfattas av GDPR.
Nedan följer en förklaring i delar av GDPR samt en checklista för att komma igång med en anpassning.
Vem ansvarar för kundernas personuppgifter?
Holmquistsign är personuppgiftsansvariga för hantering av våra kunders personuppgifter – hur de lagras, hur länge de lagras, vad de används till och hur de är skyddade från dataintrång. Tar vi inte detta ansvar kan företaget behöva betala vite.
Vad är en personuppgift?
En personuppgift är en uppgift som kan identifiera en fysisk, nu levande person.
Vad är ett personregister?
Alla register där minst två uppgifter om en person finns med klassas som ett personregister, oavsett om det är ett papper i en pärm, en excelfil eller i ett mejl. Register som bara innehåller en personuppgift, men som kombineras med andra register med ytterligare uppgifter om samma person, klassas också som ett personregister.
Utökade rättigheter för dem vars personuppgifter vi behandlar
GDPR är framtagen för att stärka individens personliga integritet. Det som skiljer GDPR från PuL, i stora drag, är att individen ska ha bättre inblick i hur dennes uppgifter behandlas och ha kontroll över sina egna uppgifter.
Rätt till information
Kunden har rätt att få information när hans eller hennes personuppgifter behandlas. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den lagliga grunden för behandlingen och ändamålet med behandlingen.
Information ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när kunden annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till kunden – till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) och det finns risk för till exempel identitetsstöld eller bedrägeri.
Rätt till korrigering
Det är vårt, Holmquistsigns, ansvar som personuppgiftsansvarig att personuppgifter är korrekta. Om så inte är fallet har kunden rätt att få sina uppgifter rättade. Kunden har rätt att kontakta Holmquistsign, på info@holmquistsign.se, för att få sina uppgifter rättade. Kunden har också rätt att få veta till vem felaktiga uppgifter kan ha lämnats ut.
Rätt att bli glömd
På kundens begäran har denne rätt att få samtliga personuppgifter raderade helt eller delvis. Vi som personuppgiftsansvariga är då skyldiga att tillmötesgå detta och informera andra som behandlat dennes uppgifter att göra detsamma.
Om det finns en annan lagstiftning som kräver att uppgifter sparas, kan dessa uppgifter inte bli glömda. Det kan förekomma en intresseavvägning då organisationen ändå kan spara uppgifter utan personens samtycke. Till exempel om någon är utesluten, vill bli glömd, men organisationen behöver ha uppgifter för att personen inte ska kunna återkomma som kund igen.
Vill kunden bli helt glömd är det inte längre möjligt att köpa produkter av Holmquistsign, då vi inte kan administrera kunduppgifter.
Rätt till dataportabilitet
Kunden har rätt att få sina uppgifter flyttade, t ex till ett annat företag. Detta gäller bara de uppgifter som kunden själv har lämnat och som omfattas av det avtal eller samtycke som vi och kunden har kommit överens om. Uppgifterna ska då göras tillgängliga i en fil i digitalt format som kan läsas av vanliga system, till exempel xml.
Rätt att få ut sina uppgifter som behandlats
Kunden har rätt att kostnadsfritt en gång om året få ett utdrag på all behandling av dennes personuppgifter. Detta gäller både digitala och analoga register. Informationen ska tillhandahållas i en lättillgänglig, skriftlig form och med ett tydligt och enkelt språk.
Rätt att göra invändningar
Kunden har rätt att invända mot hur vi har behandlat dennes personuppgifter. Som personuppgiftsansvarig är vi då skyldiga att kunna påvisa att vi behandlat personuppgifter enligt det avtal eller samtycke som vi kommit överens om. Om kunden invänder mot användning vid direktmarknadsföring får Holmquistsign inte använda kundens uppgifter i detta syfte.
Rätt att lämna klagomål
En kund som anser att vi brustit i vår behandling av personuppgifter har rätt att lämna in ett klagomål till Datainspektionen. Detta är vi skyldiga att informera våra kunder om. Om klagomålet ”vinner laga kraft” kan Datainspektionen besluta att Holmquistsign ska betala ut skadestånd.
Checklista för att påbörja anpassningen till GDPR
Datainspektionen har tagit fram ett bra underlag som hjälper till i förberedelserna.
För att förenkla det ytterligare har Holmquistsign tagit fram en egen checklista.
1) Leta information
På datainspektionen.se finns det mycket information om den nya förordningen.
2) Utse en ansvarig
Holmquistsign har utsett en person som är ansvarig för att sätta sig in i frågorna och börja läsa på.
3) Se över vilka personuppgifter vi sparar och i vilket syfte
Behandling av personuppgifter ska ske på ett lagligt, korrekt och öppet sätt. För att uppnå det, ska vi endast spara de personuppgifter som är adekvata för att kunna bedriva verksamheten.
Vår målsättning är att inte spara fler uppgifter än vad vi behöver.
5) Se över säkerheten
Vi ska minimera risken för att kunders personuppgifter läcker ut. Detta gör vi bäst genom att skapa rutiner för vilka som får hantera och spara register, och på vilket sätt de sparas. Vi ska se till att personuppgifter inte sparas på personers egna datorer eller andra ställen där de lätt läcker ut. Bästa är om uppgifterna ligger skyddade bakom ordentliga brandväggar.
I GDPR finns en rapporteringsskyldighet vid dataintrång. Skulle personuppgifter läcka, t ex om någon mister sin dator eller telefon med personregister i eller någon hackar sig in på er hemsida, har vi 72 timmar på oss från att det upptäcks, att rapportera det till datainspektionen. Det kan komma att bli aktuellt att även delge detta till de drabbade – dvs kunden.
6) Skriv personuppgiftsbiträdesavtal
Alla externa parter som vi lämnar ut personregister till är våra personuppgiftsbiträden som vi ska skriva ett personuppgiftsbiträdesavtal med.
7) Personuppgifter i ostrukturerat material
Alla personuppgifter som förekommer i t ex mejl, protokoll, brev och på hemsida, s.k. ostrukturerat material, omfattas också av GDPR. Så har det inte varit tidigare. Det innebär att vi behöver undersöka att publicering av personuppgifter i ostrukturerat material har rättsligt stöd, att vi skapar rutiner för hur vi avpersonifierar uppgifter i protokoll och att vi informerar de registrerade, kunderna, på ett korrekt sätt.
8) Informera om hur ni hanterar kundernas personuppgifter
Den sista, och kanske viktigaste punkten, är att vara tydlig i informationen till kunderna gällande hur vi på Holmquistsign hanterar personuppgifter och att vi noga motiverar hur behandlingen av dessa sker.
Frågor om GDPR
Har du frågor om GDPR, kontakta: Jan Holmquist, jan@holmquistsign.se
Viktiga länkar
Villkor
Dina kunduppgifter är grunden för att vi ska kunna vara din leverantör. Vi lagrar dina personuppgifter för att du ska kunna vara kund hos oss.
Protokoll & arkivering
Beslut ska protokollföras och korrespondens ska arkiveras inom Holmquistsign.