acendy
GDPR & Wikinggruppen
GDPR (Dataskyddsförordningen) gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018 och innebär en hel del förändringar för de som behandlar personuppgifter. Läs mer om GDPR nedan och vad vi tycker att du bör tänka på som företagare allmänt och som kund hos Wikinggruppen.
Först av allt!
När du läser detta bör du samtidigt ha i åtanke att lagen ännu är oprövad. Det betyder att även om vi och expertisen på området idag tolkar på ett sätt, kan det bli annorlunda när detta prövas i domstol och det skapas prejudikat. Av den anledningen skall innehållet på denna sida inte betraktas som juridisk rådgivning och är endast avsedd för informationsändamål.
Vad är GDPR/Dataskyddsförordningen?
Den 25 maj 2018 får Sverige och övriga EU en ny lagstiftning – Dataskyddsförordningen, som reglerar hur företag med flera får behandla sk personuppgifter. GDPR ersätter PUL, personuppgiftslagen. Syftet med GDPR är att stärka enskilda personers rättigheter över hur t.ex. företag får samla in och använda deras personuppgifter.
Vem berörs?
Kort sagt alla företag eller organisationer! Regelverket gäller alla branscher som sparar eller på något sätt hanterar personlig information som kan identifiera en individ, en sk personuppgift.
Vad behöver jag göra internt med anledning av GDPR?
GDPR är genomgripande och berör hela företaget. Man skall, vid en eventuell inspektion kunna visa att man uppfyller GDPR´s krav på hantering av personuppgifter. Det betyder att det ska finnas dokumentation på vilka personer som har tillgång till personuppgifter, var dessa uppgifter finns lagrade samt vilken typ av information man har tillgång till. Tänk på att personuppgifter kan finnas på många olika ställen som exempelvis e-postprogram, löneprogram, affärssystem, telefoner, post-it lappar, backuper, pärmar, medlemsregister, intranät osv!
Ok, Hur bör vårt företag agera generellt kring personuppgifter med tanke på GDPR?
- Samla in och hantera personuppgifter endast om det finns laglig grund för det, ex fullföljande av köpavtal.
- Informera de personer vars uppgifter du samlar in.
- Lagra inte mer uppgifter än du behöver och använd inte uppgifter till annat syfte än den inhämtats för.
- Tillse att så få som möjligt och endast dom med behov av det, har tillgång till personuppgifter.
- Lagra enbart uppgifterna under så lång tid som du sagt att du ska eller måste för att uppfylla exempelvis köpavtal samt lagkrav.
- Lagra information säkert och skydda personuppgifterna från otillåten användning och obehörig åtkomst.
- Individen har rätt att bli bortglömd, ändrad eller upplyst om vilka uppgifter ni har om honom/henne givet att det inte strider mot andra avtal och lagkrav.
- Upprätta gärna en integritetspolicy som ni kan hänvisa till.
- Dokumentera internt hur ditt företag hanterar och säkrar personuppgifter.
- Sätt upp biträdesavtal med företag som hanterar data och uppgifter för din räkning.
Fördelar och vinster med GDPR
I grund och botten tycker vi att detta är en bra lag som behövs. Som företagare har du mycket att vinna på att ha ordning och reda på de personuppgifter du samlar in och hanterar om t.ex. dina kunder. Det är även viktigt att dina kunder känner förtroende för att deras uppgifter hanteras ansvarsfullt i din verksamhet.
Ditt företag har huvudansvaret som personuppgiftsansvarig
Observera att det är ditt företag som är personuppgiftsansvarig och därmed ansvarig för att hanteringen av personuppgifter följer GDPR. På Datainspektionens hemsida finns utförlig information och vägledning för personuppgiftsansvariga. Ditt företag använder troligen flera tjänster där personuppgifter hanteras, leverantörerna av dessa system, däribland Wikinggruppen, är så kallade personuppgiftsbiträden, vars främsta ansvar är att se till att tillgången och lagringen av personuppgifter sker säkert.
Wikinggruppen & GDPR
Som leverantör av vår egenutvecklade e-handelsplattform är Wikinggruppens roll som personuppgiftsbiträde att se till att tillgången och lagringen av personuppgifter på vår plattform sker säkert samt vid behov ge möjlighet åt våra kunder som bedriver e-handel att kunna efterleva förordningen.
Nedan har vi sammanställt ett antal frågor och svar.
F: Behövs det ett personuppgiftsbiträdesavtal ?
S: Ja, vi kommer behöva upprätta ett biträdesavtal mellan oss och våra kunder som använder vår e-handelsplattform samt även kunder som använder vårt FSY system. Detta sker genom att vi lägger till personuppgiftsbiträdesavtalet som ett tilläggsavtal till våra generella abonnemangsvillkor samt informerar samtliga kunder om detta.
F: Har ni någon färdig text jag kan lägga in gällande GDPR?
S: Nej, fram tills dess att det finns en eller flera prejudicerande domar rörande GDPR vet ingen exakt vad som behöver vara med etc och vi har av den anledningen valt att inte ta fram en standardtext som mycket väl kan komma att visa sig vara felaktig. Titta dock gärna på wikinggruppens egna integritetspolicy och andra större e-handlare hur dom tolkat detta och valt att uttrycka sig.
F: Kan jag ta bort eller anonymisera kunder och personuppgifter?
S: Ja, vi kan tillhandahålla verktyg för det. Ni är även välkommen att kontakta vår support för hjälp i dessa frågor. Observera dock att rätten att glömmas bort endast gäller i vissa sällsynta specifika fall. Har du samlat in data regelrätt och har ett syfte med detta som gäller över en tid, ex att uppfylla köpeavtal, bokföringslag etc så skall du inte radera den data som behövs för detta.
F: Kan jag begära samtycke för personuppgiftsbehandling?
S: Ja, vi kan tillhandahålla verktyg för det om önskas. Ni är även välkommen att kontakta vår support för hjälp i dessa frågor. Observera dock att det visserligen behövs en laglig grund för personuppgiftsbehandling, men samtycke är bara en av flera sådana grunder och snarast ett undantag. Om en kund handlar av dig i din webbutik så måste man behandla personuppgifter för att kunna fullgöra avtalet.
F: Är det möjligt att behörighetsstyra åtkomsten till personuppgifter i e-handelsplattformen?
S: Ja, Ja, det kan ordnas om behovet uppstår.
F: Hur lagras mina kunders personuppgifter?
S: All lagring av data sker i Sverige på servrar hos våra driftleverantörer Oderland AB samt Internetport AB.
F: Kan jag fortsätta skicka nyhetsbrev efter den 25/5 2018 till mina kunder?
S: Ja, här ges lite olika besked från olika parter men enligt GDPR guiden på verksamt.se (som är framtagen tillsammans med datainspektionen) så är det ok att skicka nyhetsbrev till befintliga kunder givet att man har möjlighet att avanmäla sig.
Läs mer om GDPR / Dataskyddsförordningen
På Verksamt.se finns kortfattad information för småföretagare kring GDPR och även en frågeguide som tar upp de viktigaste punkterna. Det finns även mer information om Dataskyddsförordningen/GDPR på Datainspektionens hemsida. Computer Sweden har även gjort en lista på vanliga missförstånd kring GDPR.