Den 25 maj 2018 träder den europeiska dataskyddsförordningen (GDPR) i kraft i alla EU:s medlemsländer. Den ersätter då alla nationella regler, såsom den nu gällande personuppgiftslagen. Förordningen innehåller regler om hur du som företag får behandla personuppgifter såsom kundregister, löne- eller personalregister, namn, personnummer, epost-adresser, bilder och annat som går att koppla till en fysisk person. Syftet med GDPR är att stärka säkerheten och skyddet av personuppgifter inom EU och riktar sig till alla organisationer och företag som hanterar personuppgifter.
Hur hanterar Blikk GDPR?
Vi på Blikk känner ett stort ansvar för dessa frågor och har sedan en tid tillbaka arbetat med att GDPR-säkra systemet så att du som användare ska kunna känna dig trygg med att vi följer de nya lagar och regler som kommer att gälla för hantering av personuppgifter. Vi har lagt stor vikt vid att säkerställa att vi inte samlar in mer information än vad som är nödvändigt för att kunna uppfylla syftet (Privacy by Design), viiket är en av grundprinciperna inom GDPR. I systemet finns numera också ny GDPR-funktionalitet som hjälper dig som användare att svara upp till de nya kraven för personuppgiftshantering.
Vi kommer kontinuerligt granska systemet för att säkerställa att vi följer de nya kraven. Nyheter och förändringar angående systemets hantering av personuppgifter kommer kommuniceras på i vår FAQ samt i särskilda nyhetsbrev till våra kunder.
Hur ser ansvarsfördelningen ut mellan mig som kund och Blikk?
Som användare och kund har ni det yttersta ansvaret, det vill säga personuppgiftsansvar, för att personuppgiftslagen följs och för de uppgifter ni väljer att insamla och vidarebehandla i Blikk. Det innebär att ni är skyldiga att se till att all er information om kunder hålls säker, att den hålls uppdaterad, beskriver vilka uppgifter som samlats in, hur de samlats in och i vilket syfte.
Blikk har ett infrastrukturansvar, det vill säga ett övergripande ansvar att vidta tekniska och organisatoriska säkerhetsåtgärder för att ni som kund ska vara kunna vara trygga med att er data behandlas säkert och enligt lagen. Mer om våra säkerhetsrutiner finns beskrivet i våra Avtalsvillkor och vår Integritetspolicy.
Hur påverkar GDPR mig som användare av Blikk?
För att underlätta i ert GDPR-arbete har vi utökat funktionaliteten i Blikk med ett GDPR-område där ni enkelt kan säkerställa om ni uppfyller de syften och lagkrav som krävs för att få hantera personuppgifter i systemet. Som användare behöver ni också godkänna våra uppdaterade Avtalsvillkor med tillhörande Personuppgiftsbiträdesavtal. I övrigt kommer ni som användare inte märka några större förändringar, men vi rekommenderar att ni ser över era egna rutiner för personuppgiftshantering så att ni följer de nya kraven när den nya lagen träder i kraft den 25 maj 2018.
Vem ansvarar för den data jag sparar i Blikk?
Enligt GDPR får man bara samla in personuppgifter för ett angivet syfte. Om det huvudsakliga syftet frångås kan det leda till att du åsidosätter GDPR. Till personupgifter räknas de uppgifter som direkt eller indirekt kan identifiera en nu levande fysisk person. Till fysisk person räknas även enskilda firmor.
I systemet hittar ni personuppgifter i fält och kolumner som har ett förutbestämt syfte, men det kan också finnas på ställen där det finns möjlighet att lagra godtycklig information. Det kan till exempel vara i fritextfält och kommentarer. Tänk på att denna typ av information kan vara svår att söka efter och analysera.
När man samlar in personuppgifter har man en informationsskyldighet gentemot den enskilde individen. Bland annat är ni skyldig att informera om vilka ni är, syftet med insamlingen, vilken rättslig grund ni stödjer er på, om ni tänker dela uppgifterna med någon och när uppgifterna kommer att raderas. Individen måste också ges möjlighet att få tillgång till de personuppgifter som är lagrade om denne.
Observera att för samtliga dessa data är ni personuppgiftsansvarig (se frågan om ansvarsfördelning), och här gäller reglerna för GDPR oavsett om data spridits på normal sätt, eller om det har skett i form av en otillåten handling, till exempel att någon kopierat en säkerhetskopia av en databas och sedan skickat den för analys eller support hos en utomstående aktör.
Vilka personuppgifter behandlar vi om dig?
För att kunna använda tjänsten behöver vi vissa personuppgifter. Exempel på sådana uppgifter är kontaktuppgifter, företagsuppgifter, inloggningsuppgifter samt online-identifikation. I de fall ni kontaktar oss via vår ärendehantering, telefon eller chatt kan uppgifter förekomma i ostrukturerat material, vilket betyder att den information som hanteras är beroende på vilken information ni själva väljer att dela med oss.
En detaljerad lista över de personuppgifter som hanteras samt vilken laglig grund som ligger till grund för behandlingen finns beskrivet i vår Integritetspolicy.
Finns det processer som begränsar behandlingen av personliga data i Blikk?
Ja det gör det. I utformningen av systemet har vi lagt stor vikt vid att säkerställa att vi inte samlar in mer information än vad som är nödvändigt för att kunna uppfylla syftet (Privacy by Design). Som användare bör ni däremot vara medvetna om att fritextfält och kommentarsfält som tillåter egen, ostrukturerad data ska användas med försiktighet då denna sortens data kan vara svår att söka efter, analysera och gallra.
I vilka länder behandlar Blikk persondata?
All data som Blikk behandlar hanteras inom EU (främst Sverige och Irland) och i vissa fall USA. I de fall vi behandlar data i USA är detta i samarbete med leverantörer som är Privacy Shield-certifierade.
Vilka är underleverantörer anlitar Blikk för hantering och lagring av data?
I användningen av systemet kan vi komma att dela personuppgifter med underleverantörer till Blikk både inom och utanför EU/EES. En fullständig översikt avseende mottagare och platser för respektive behandling av personuppgifter i Blikk finns tillgänglig i våra Allmänna villkor samt Integritetspolicy.
Vilka rutiner har Blikk för radering och gallring av data?
Det är bara ni som användare av systemet som kan veta hur länge ni behöver, och kan behålla era kontakter i ert kontaktregister. Vad som styr om en kontakt bör tas bort eller inte beror på syftet med behandlingen, samt den rättsliga grunden till registreringen. På samma sätt kommer vi på Blikk att hantera ändamålsenliga uppgifter om er som kund för att kunna fullfölja vårt serviceavtal gentemot er. Läs mer om vår behandling av personuppgifter i vår Integritetspolicy.
Har Blikk stöd för att kunna radera eller anonymisera personuppgifter?
Ja, Blikk har stöd för radering och anonymisering av personuppgifter. Personuppgifter i Blikk kan raderas eller anonymiseras av ansvarig systemadministratör. Vid de fall det inte finns en teknisk funktion för radering behöver din systemadministratör kontakta oss.
Finns det fysiska och elektroniska skydd för lagring av personuppgifter samt rutiner för kryptering av data?
Blikk använder sig av SSL-certifikat i kommunikationen mellan webbläsaren och servern för krypterad information. Viss information, så som personnummer lagras dessutom krypterat. Utöver det används användarnamn och lösenord för att åtkomst till Blikk.
Finns säkerhetskopior på lagrade personuppgifter, och vilka är rutinerna för kopiornas radering?
Lagring sker i SQL Server databas i Microsofts molntjänst Azure. Databaser backas upp var 4:e timme och sparas i 30 dagar. Lagringen är IP-skyddad så att endast betrodda IP-adresser har åtkomst till databasservern samt att användarnamn och lösenord måste anges för åtkomst.
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.