Användartips för Visma Mamut

  Oavsett om du handlar online, signar upp dig på ett nyhetsbrev eller använder sociala medier så lämnar du spår av information efter dig.   Företag är i regel duktiga på att upplysa sina användare att de kommer samla in information. Men varför och vad de ska ha informationen till är de inte alltid lika tydliga med. Behöver verkligen företagen all denna information och hur kan du som användare ta tillbaka kontrollen på dina personuppgifter? Det är denna frågeställning som ligger till grund för EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation) som träder i kraft 25 maj 2018. I Sverige ersätter förordningen nuvarande PUL och detsamma gäller i övriga länder i Europa. Det innebär alltså att samma regler kommer gälla inom EU och ESS efter 25 maj. Även om det gemensamma regelverket kommer underlätta för företagen så innebär GDPR drastiska förändringar i hur de samlar in, lagrar och använder personuppgifter.   Jag ska här försöka klargöra vad GDPR innebär och hur förordningen kommer påverka dig som företagare. Jag kommer också dela med mig av tips på hur du kan förbereda dig inför den kommande förändringen.   Viktigt att komma ihåg är att det här är ingen officiell guide till hur du ska hantera GDPR i Mamut utan snarare ett första steg till att landa i hur GDPR kommer påverka din verksamhet. Mer information kommer publiceras innan förordningen träder i kraft.   Vad är GDPR? GDPR står alltså för General Data Protection Regulation och på svenska har det blivit vedertaget att även kalla den “europeiska dataskyddsförordningen” eller “nya dataskyddsförordningen”. För enkelhetens skull kommer jag i denna artikel att även kalla den “förordningen”.   Förordningen kommer att implementeras i alla lokala personuppgiftslagar inom hela EU och ESS-regioner och kommer att gälla alla företag som är verksamma eller lagrar personuppgifter om europeiska medborgare. Det innefattar även företag på andra kontinenter.   Med personuppgifter menas all information som är kopplad till en person. Det kan exempelvis vara namn, personnummer, foto, e-post, bankuppgifter, inlägg på sociala medier, platsinformation, medicinsk information och datorns IP-adress. Om ett företag lagrar en uppgift som kan avslöja vem individen är så räknas det som personuppgift.   Det spelar ingen roll om personuppgifterna rör en individs privata, offentliga eller professionella roll. En person ses som en och samma individ oavsett roll. Det har alltså ingen betydelse om det är en b2b-relation då det fortfarande är individer som interagerar med varandra.   Individen har alltså mycket större kontroll på vilken information som andra har tillgång till och hur den behandlas.   Följande rättigheter har individen i nya europeiska dataskyddsförordningen. Varje behandling av personuppgifter måste ha en laglig grund Med det menas att individen har gett samtycke till att bli registrerad  Rätt till tillgång Detta ger individen rätt att få tillgång till sina personuppgifter samt få veta hur företaget avser att använda dessa. På begäran av en individ måste företaget, gratis och i elektroniskt format, tillhandahålla en kopia av personuppgifterna. Rätten att bli bortglömd Om individen inte längre är kund eller vill återkalla det samtycke som har gett företaget rätt att använda personuppgifterna, har individen under vissa förutsättningar rätt att få sin information raderad.   Rätten till dataportabilitet Individen har rätt att överföra sina data från en tjänsteleverantör till en annan. Detta måste ske i ett vanligt och maskinläsbart format.   Rätten att bli informerad Rätten för individen att bli informerad omfattar i princip alla typer av insamling av personuppgifter som företagen gör.   Rätten att få information korrigerad Detta garanterar att individen kan få sina uppgifter uppdaterade om de är inaktuella eller felaktiga.   Rätten att begränsa behandling Individen kan under vissa förutsättningar begära att personuppgifter inte behandlas. Uppgifterna finns kvar, men dess användning begränsas.   Rätten att invända Detta inkluderar rätten att avbryta behandling av personuppgifterna i syfte att använda dem för direkt marknadsföring. Det finns inga undantag till denna regel och all eventuell behandling i marknadsföringssyfte måste avbrytas så snart företaget får denna begäran. På samma sätt måste individen meddelas denna rättighet tydligt och klart i början av all kommunikation.   Rätten att meddelas Om det har förekommit ett dataintrång som omfattar en individs personuppgifter, har individen i vissa fall rätt att få vetskap om detta inom skälig tid efter det att personuppgiftsbrottet blivit känt.   Vad innebär det här för företagen? Företag måste ta betydligt större ansvar för att personuppgifter behandlas på rätt sätt. Sverige har haft en relativt tuff lagstiftning rörande personuppgifter i Personuppgiftslagen (PUL) vilket innebär att om man redan idag har gedigna PUL-rutiner kommer omställningen inte bli lika dramatisk.   Lagstiftarna har etablerat hårda straff för det företag som bryter mot GDPR. Att inte följa förordningen kan ge böter på upp till 4 % av den årliga totala globala omsättningen alternativt 20 miljoner euro.   Alla företag som har med personuppgifter att göra bör ha ett dataskyddsombud med ansvar för att säkerställer att GDPR efterlevs. Dataskyddsombudet bör även ansvara för att informerar om GDPR internt.   Frågeställningar Nedan följer en rad frågeställningar från datainspektionen som de anser att man efterlever. Utförligare svar på frågorna hittar ni hos datainspektionen här.   Är er organisation medveten om EU:s nya dataskyddsförordning? Försäkra er om att alla som kan beröras är medvetna om vad den nya dataskyddsförordningen innebär.   Vilka personuppgifter hanterar ni? Se till att inventera vilka personuppgifter ni hanterar och hur de samlas in och förmedlas. Har ni till exempel lämnat ut uppgifter så ska det kunna spåras.   Använder ni missbruksregeln? Det finns ett undantag i PUL som kallas missbruksregeln och innebär att man kan hantera personuppgifter i ett ostrukturerat material. Exempel på ostrukturerat material kan vara löpande text på internet. Detta kommer inte vara tillåtet enligt GDPR   Vilken information lämnar ni? Hur informerar ni de som ni samlar in data om? När ni samlar in personuppgifter måste ni enligt personuppgiftslagen lämna viss information, till exempel om er identitet och ändamålet med behandlingen. Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat kommer ni att behöva informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till tillsynsmyndigheten (som i Sverige är Datainspektionen)   Hur ska ni tillmötesgå de registrerades rättigheter? Se till att ni kan tillmötesgå de rättigheter som jag nämner ovan om vilka rättigheter individerna har.   Med vilket rättsligt stöd behandlar ni personuppgifter? Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser.   Hur inhämtar ni samtycke? Det måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör hen. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter.    När ni har samtycke måste ni också kunna visa vilken information ni lämnade vid samtycket samt hur samtycke har lämnats.   Behandlar ni personuppgifter om barn? Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Därför är det viktigt att ni ser över hur ni kontrollerar en individs ålder samt hur ni inhämtar vårdnadshavarens samtycke.   Vad ska ni göra vid personuppgiftsincidenter? Ni bör ha tillräckliga rutiner på plats för att upptäcka, rapportera och utreda incidenter såsom dataintrång, eller på annat sätt förlorar kontrollen över de uppgifter ni behandlar. Observera att man måste rapportera händelser till tillsynsmyndigheten inom 72 timmar så bra rutiner här är viktiga.    Vilka särskilda integritetsrisker finns med er behandling? Kommer ni göra något som medför ökade risker, till exempel flytta stora mängder känslig data, ska ni genomföra en riskanalys. Om analysen visar på höga risker ska ni samråda med tillsynsmyndigheten innan ni genomföra det.   Har ni byggt in skydd för personuppgifter i era it-system? Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in. Om ni har mycket information så kan åtgärderna till exempel vara pseudonymisering, som medför att uppgifterna inte går att koppla till en enskild person utan ytterligare information (nyckel) som hålls avskild, eller dataminimering, det vill säga att endast behandla de uppgifter som är nödvändiga för varje enskilt ändamål. Se till att inventera alla era program/system så ni inte glömmer något.   Vem ansvarar för dataskyddsfrågor i er organisation? Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.   Har ni verksamhet i flera länder? Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. I organisationer med traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret så är det enkelt att veta vilken tillsynsmyndighet som gäller.   Sammanfattning Det kan vara mycket att tänka på och det är en stor omställning för oss som hanterar personuppgifter. För att summera det hela så är här några grundläggande punkter som ni bör följa: Gör en översyn över vilka personuppgifter ni har Begränsa tillgång till och städa era register Se till att ni har rutiner för att ge ut personuppgifter vid förfrågan. Skapa rutiner hur ni tar in och lagrar information   Vi håller på att färdigställa de slutgiltiga detaljerna kring att anpassa Visma Mamut för GDPR. I huvudsak kommer vi säkerställa att du som kund kommer kunna följa förordningen. Det handlar om att uppdatera säkerheten och informationen i Mamut.   Uppdatering: Det finns nu skript som gör att man kan rensa personuppgifter med vissa kriterier. Till exempel: Alla kontaktpersoner som vi inte har haft någon aktivitet med på 2 år eller alla personuppgifter på verifikat äldre än 7 år. Här hittar ni dem.    Information om hur vi på Visma jobber med GDPR och andra förtroendefrågor hittar ni här: https://www.visma.com/privacy/ https://www.visma.com/trust-centre/   Denna artikel kommer uppdateras löpande så snart vi nås av ytterligare information kring GDPR.   Observera att informationen i denna artikel inte är juridisk rådgivning och är endast avsedd som information.   Dela gärna med er om hur ni jobbar med GDPR i ert företag