GDPR

CNAME följer redan GDPR. Vi har en DPO (Data Protection Officer) som nås på dpo@cname.se. Vi har även tagit fram en incidenthanteringsplan. Vi har en enkel integritetspolicy och önskar du ett personuppgiftsbiträdesavtal så kan du beställa det här. Om du inte längre är kund hos oss kan du ändra eller ta bort informationen när du vill genom att anmäla det här.  Vår ambition är att hela tiden arbeta med relevant innehåll, integritet, ärlighet, transparens och ansvar.

Som kund hos CNAME har vi sett till att du kan följa GDPR. Först och främst så finns all data lagrad i Sverige. Att det är svensk lagring skyddar även din data från att drabbas av utländska lagar. Vi har en loggningsfunktion som innebär att man kan följa vad som hänt med en specifik fil och vem som har gjort det. Ovärderligt om man jobbar flera med samma filer och vill ha full kontroll. Nedan kan ni läsa mer om viktiga punkter för ert företag när det gäller GDPR.

Att tänka på
Personuppgifter som ni behandlar måste ha laglig grund. För att behandla personuppgifter måste det alltid finnas stöd i dataskyddsförordningen. Laglig grund kan vara ett samtycke innan ni behandlar en personuppgift.

Rätt att veta. Era kunder och medarbetare har utan kostnad rätt att veta vilken information ni behandlar om dem, syftet med behandlingen och var någonstans behandlingen sker.

Rätt att invända. Rätten att invända omfattar t.ex. rätten att kunna avbryta alla dina nyhetsbrev, lagen är särskilt tydlig här. Ni får heller inte använda personuppgifter som ni har behandlat på en faktura för att skicka mail med erbjudanden, om inte ni specifikt meddelat kunden att göra just detta och har ett bekräftat samtycke.

Rätten att bli bortglömd. Denna regel är kanske den som blir jobbigast att hantera då det ställer mycket speciella krav på er verksamhet. Har ni adresser till kunder i t.ex. en excel.fil eller i ett mail så ska dessa raderas om kunden begär detta. Det finns ett begrepp som benämns laglig grund och den kan oftast gälla före kundens önskan om att bli bortglömd. Har man t.ex. fått samtycke att lagra en faktura med namn och adress är detta en laglig grund. Men då måste man efter 7 år radera denna faktura eftersom uppgiften då kommer att sakna laglig grund. Det kan alltså finnas olika syften med din behandling av personuppgifter där lagringen av fakturor lyder under en, och kontakten i ert adressregister lyder under en annan.

Rätten att bli meddelad vid dataintrång. Skulle ert lagringskonto bli hackat och ni har personuppgifter så har berörda personer under vissa omständigheter rätt att inom skälig tid bli underrättade.

Det kan bli dyrt om man inte följer GDPR. De företag som inte följer GDPR riskerar stora böter med upp till 4% av företagets totala omsättning. Det handlar inte bara om IT utan all hantering av personuppgifter. Har ni t.ex. ett löneregister innehåller detta personuppgifter, och det är ert ansvar att ha regler för hur dessa rensas om personer slutar på företaget.

Här kommer lite tips om hur ert företag ska klara efterfölja GDPR. Tänk på alla personuppgifter som lånade och att när ni inte har något syfte med dem, ska de tas bort. Ert företag ansvarar för alla personuppgifter, oavsett vart de lagras. Det är ert ansvar att leverantörer av IT-system har de rätta säkerhetssystemen för att skydda era kunders data. Ni måste ha rutiner för att ta bort personuppgifter samt dokumentera var och hur din data förvaras och hanteras.

Kontrollfrågor man kan ställa i sitt arbete med att uppfylla GDPR:

• Varför lagrar vi uppgifterna istället för att radera dem?
• Har kunden/individen verkligen gett sitt samtycke till lagring?
• Varför sparar vi uppgifterna? Ni får t.ex. inte lagra onödig information som t.ex. ålder om ni inte kan motivera detta som nödvändigt för din verksamhet och din kund.
• Vad är syftet med behandlingen? Kategorisera dessa syften.
• Hur länge är det motiverat att lagra uppgifterna? Skaffa rutiner som rensar ut gamla data.
• Om en kund vill bli bortglömd hur agerar vi då? (Om ni raderar en fil med persondata, tänk på att den fortfarande kan ligga i papperskorgen)
• Om en kund vill veta vad som finns lagrat, vilka besked ger ni då?
• Hur vet ni att den som begär uppgifterna verkligen är den person som den utger sig för att vara?

GDPR träder som sagt i kraft den 25 maj 2018 och skall innebära ökad säkerhet för den personliga integriteten. Observera att ni själva måste säkra just er verksamhet juridiskt och att texten ovan är förenklad. Vill ni redan nu läsa mer om vad Datainspektionen säger om molntjänster och personuppgiftslagen så kan ni hitta det här.