Från och med den 25 maj 2018 gäller EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation). Den kommer att omfatta alla företag som hanterar och lagrar personuppgifter, och givetvis har vi på Compilator förberett för den nya lagen. Enligt GDPR innebär personuppgifter all den information som är kopplad till en levande person, t.ex. namn, foto, e-postadresser, IP-adresser, platsinformation, och eventuella bilars registreringsnummer.

Vi rekommenderar att du redan nu häller upp en kopp kaffe - det är mycket att ta in! Vi har försökt att samla alla föreskrifter som gäller vid lagring och hantering av personuppgifter, utifrån vad dina medarbetare och kunder har rätt att veta.

Personuppgifter som du behandlar måste ha laglig grund. För att behandla personuppgifter måste det alltid finnas stöd i dataskyddsförordningen. Laglig grund kan vara ett samtycke innan du behandlar en personuppgift. En förkryssad ruta på hemsidan är inte att anse som samtycke längre, eftersom den förkryssade rutan gör att ett sådant samtycke inte anses ha lämnats frivilligt. Ett samtycke till utskick av ett nyhetsbrev är inte heller ok om det samtidigt innebär att du kommer att få reklam i brevlådan. Det gäller alltså att vara extra tydlig med vad du avser göra med uppgifterna du samlat in.

Rätt att veta. Dina kunder och medarbetare har utan kostnad rätt att veta vilken information du behandlar om dem, syftet med behandlingen och var någonstans behandlingen sker.

Rätt att invända. Rätten att invända omfattar t.ex. rätten att kunna avbryta alla dina nyhetsbrev, lagen är särskilt tydlig här. Du får heller inte använda personuppgifter som du har behandlat på en faktura för att skicka mail med erbjudanden, om inte du specifikt meddelat kunden att göra just detta och har ett bekräftat samtycke.

Rätten att bli bortglömd. Denna regel är kanske den som blir jobbigast att hantera då det ställer mycket speciella krav på din verksamhet. Har du adresser till kunder i ditt mail-program eller i ett mail ska dessa raderas om kunden begär detta. Det finns som jag nämnde i början begreppet laglig grund och den kan ibland gälla före din kunds önskan att bli bortglömd. Har du fått samtycke att lagra en faktura med namn och adress är detta en laglig grund. Men du måste efter 7 år radera denna faktura eftersom uppgiften då kommer att sakna laglig grund. En adress på ett förvaringskort har ett samtycke då ni ingått ett avtal som löpande förnyas.  Det kan alltså finnas olika syften med din behandling av personuppgifter där lagringen av fakturor lyder under en, och kontakten i ditt adressregister lyder under en annan.

Rätten att bli meddelad vid dataintrång. Skulle din dator bli hackad eller om du tappar ett usb-minne med adresser har berörda personer under vissa omständigheter rätt att inom skälig tid bli underrättade.

Det kan bli dyrt om du inte följer lagen! De företag som inte följer GDPR riskerar stora böter med upp till 4% av företagets totala omsättning. Det handlar inte bara om IT utan all hantering av personuppgifter. Har du t.ex. ett löneregister innehåller detta personuppgifter, och det är ditt ansvar att ha regler för hur dessa rensas om personer slutar på företaget.

Här kommer lite tips om hur du ska klara efterfölja GDPR Tänk på alla personuppgifter som lånade och att när du inte har något syfte med dem, ska de tas bort. Du ansvarar för alla personuppgifter, oavsett vart de lagras. Det är ditt ansvar att dina leverantörer av IT-system har de rätta säkerhetssystemen för att skydda dina kunders data. Du måste ha rutiner för att ta bort personuppgifter samt dokumentera var och hur din data förvaras och hanteras.

Ställ följande frågor till dig själv:

• Varför lagrar vi uppgifterna istället för att radera dem?
• Har kunden/individen verkligen gett sitt samtycke till lagring?
• Varför sparar vi uppgifterna? Du får t.ex. inte lagra skostorlek om du inte kan motivera detta som nödvändigt för din verksamhet och din kund.
• Vad är syftet med behandlingen? Kategorisera dessa syften.
• Hur länge är det motiverat att lagra uppgifterna? Skaffa rutiner som rensar ut gamla data.
• Om en kund vill bli bortglömd hur agerar jag då?
• Om en kund vill veta vad som finns lagrat, vilka besked ger jag då?
• Hur vet jag att den som begär uppgifterna verkligen är den person som den utger sig för att vara?

Compilator är redo för GDPR! Vår resa på Compilator startade redan i våras med en serie möten med våra jurister för att reda ut vad vi måste göra för att bli godkända för GDPR. För våra kunder innebär detta att de kommer få en produkt som uppfyller GDPR, och vi kommer hjälpa till med frågor för alla om behöver hjälp.

DäckData kommer att få speciella rapporter som ger kunderna besked om var vi lagrat vad. Du kan t. ex. radera en kontakt utan att det påverkar arkiverade fakturor, vilka kan rensas separat efter 7 år. Vårt kassaregister är godkänt av Skatteverket och lagrar inga personuppgifter, vilket gör GDPR-resan extra smidig. Tänk på att ett registreringsnummer på ett kvitto med en adress är en personuppgift.  En bild på en bil med synligt registreringsnummer utanför din verkstad är också en personuppgift. 

GDPR träder i kraft inom några månader och innebär ökad säkerhet för oss alla.  Vårt råd till er är att se över hur ni kan möta lagen redan nu, annars kan konsekvenserna bli smärtsamma. Observera att du som läsare själv måste säkra din verksamhet juridiskt och att texten nedan är förenklad.

Källa: Compilator