Dina skyldigheter (om du driver företag)

Driver du ett företag har du samma skyldigheter som Bitspace AB och alla andra företag kring hur du hanterar personlig data om dina kunder.

Nedan hittar du några tips från oss vad du behöver tänka på för att ditt företag ska uppfylla dataskyddsförordningen (GDPR).

Är er organisation medveten om EU:s nya dataskyddsförordning?
Försäkra dig om att alla i din organisation har koll på vad GDPR innebär i stora drag. Se till att beslutsfattare och nyckelpersoner vet att GDPR ersätter personuppgiftslagen (PUL) och vad skillnaderna är. Undersök hur er organisation kommer att påverkas och identifiera de områden ni måste arbeta särskilt med.

Vilka personuppgifter hanterar ni?
Undersök och sammanställ vilka personuppgifter ni samlar in och hanterar idag, samt till vem uppgifterna lämnas ut och varför. Använder ni missbruksregeln idag? I personuppgiftslagen (PUL) har det varit tillåtet att behandla personuppgifter i ostrukturerat material (t ex löpande text på Internet) så länge behandlingen inte utgör en kränkning av den registrerades integritet. Detta undantag kommer att försvinna i samband med GDPR, därför är det viktigt att se över hur ni har hanterat detta tidigare. Vilken information lämnar ni vid insamling av personuppgifter?

GDPR innebär att ni behöver lämna information kring de personuppgifter ni samlar in. Som exempel kan nämnas:

1) varför samlar ni in uppgifterna?
2) hur länge sparas uppgifterna?
3) vilken rättslig grund har ni för att samla in uppgifterna?

Hur ska ni tillmötesgå dina kunders/användares rättigheter?
Era kunder/användare har en mängd rättigheter ni måste kunna uppfylla enligt GDPR. De viktigaste är att de har rätten att:

1) få tillgång till sina personuppgifter.
2) få felaktiga personuppgifter rättade.
3) få sina personuppgifter raderade.
4) invända mot att personuppgifterna används för direktmarknadsföring.
5) invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering.
6) flytta personuppgifterna (dataportabilitet).

Behandlar ni personuppgifter utan rättslig grund?
Undersök med vilken rättslig grund ni behandlar personuppgifter, och radera alla uppgifter där ni inte har någon rättslig grund.

Med GDPR kommer krav att ni informerar om vilken rättslig grund respektive personuppgift samlas in för. Det innebär också att ni inte får använda personuppgifterna till annat än den/de rättsliga grunder ni angivit utan att få ett samtycke.

Det vill säga att även om kunden/användaren anger en e-postadress för att bli kund eller genomföra en beställning så får ni inte skicka marknadsföring till kunden via e-post om de inte uttryckligen godkänt marknadsföringsutskick.

Hur inhämtar ni samtycke?
Undersök på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av kunden/användaren.

Det får till exempel inte finnas tveksamheter om er kund/användare aktivt har godkänt behandlingen av personuppgifter. Till exempel är det inte godkänt med ett tyst samtycke eller en på förhand ikryssad ruta på en hemsida.

Behandlar ni personuppgifter om barn?
Genom GDPR införs ett starkare skydd för barns personuppgifter. Om ni t ex erbjuder Internettjänster till barn måste ni få vårdnadshavares samtycke för att få behandla barnets uppgifter.

Vad ska ni göra vid personuppgiftsincidenter?
Om ni blir utsatta för dataintrång eller på annat sätt förlorar kontrollen över de personuppgifter ni hanterar måste ni dokumentera händelsen och anmäla den till tillsynsmyndigheten inom 72 timmar. Skapa rutiner och bestäm vem som har ansvaret för att göra en sådan anmälan.

Vilka särskilda integritetsrisker finns med er personuppgiftsbehandling?
Om ni behandlar personuppgifter som kan innebära stora integritetsrisker, som till exempel lagring av känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats är kraven höga. Ni måste samråda med tillsynsmyndigheten innan den typen av personuppgiftsbehandling får påbörjas.
Har ni byggt in skydd för personuppgifter i era it-system?

Några grundläggande principer inom integritetsskydd är att:

1) inte samla in mer information än vad som behövs.
2) inte ha kvar informationen längre än nödvändigt.
3) inte använda uppgifterna till något annat än vad syftet var när de samlades in.

Genom att ta hänsyn till dessa principer när ni utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationen att uppfylla reglerna i GDPR.

Ni ska även skydda personuppgifterna med lämpliga tekniska och organisatoriska åtgärder baserat på hur känsliga uppgifterna är och vad de ska användas till.
Vem ansvarar för dataskyddsfrågor i er organisation?

Bestäm vem som har ansvaret för dataskyddsfrågor på ert företag.
För vissa typer av organisationer krävs ett dataskyddsombud. Det gäller t ex organisationer som har en omfattande behandling av känsliga personuppgifter.

Har ni verksamhet i flera länder?
Om din organisation bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

FGDPR-reglerna kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sitt huvudkontor eller var beslut om personuppgiftsbehandling fattas.
Har ni personuppgiftsbeträdesavtal med de som behandlar personuppgifter på uppdrag av er?

Om ni använder en tjänst eller leverantör som behandlar era kunders personuppgifter på uppdrag av er är den leverantören ett så kallat personuppgiftsbiträde. Det innebär att de får behandla personuppgifterna enligt givna instruktioner och riktlinjer från er som personuppgiftsansvarig.

I de fall Bitspace AB agerar personuppgiftsbiträde så regleras dina rättigheter och skyldigheter gentemot oss i vår avtalsbilaga Personuppgiftsbiträdesavtal. Till exempel om du driver en webshop hos Bitspace AB där dina kunders beställningar lagras på våra servrar.