GDPR och Dataskydd

General Data Protection Regulation, ofta kallad "GDPR", är Europeiska unionens (EU) dataskyddslagstiftning. Syftet med GDPR är att skydda integriteten och personuppgifterna för individer (registrerade personer) som är bosatta i EU. Norge är medlem i EES (Europeiska ekonomiska samarbetsområdet/Europeiskt ekonomiskt samarbete), och de flesta, om inte alla, praktiska ändamål omfattas av samma regler och förordningar som EU-länder när det gäller integritet.

GDPR gäller för all behandling av personuppgifter. I detta sammanhang måste alla företag som marknadsför en produkt eller övervakar beteendet hos människor i EU/EES följa GDPR.

Ja, företagets storlek är irrelevant för GDPR. En personuppgiftsansvarig  kan till och med vara en fysisk person om han eller hon behandlar personuppgifter.

Starta med att få en överblick över vilka personuppgifter du behandlar i alla dina olika IT-system. Har du laglig grund för att behandla dessa uppgifter? Bör några av dem raderas? Om en registrerad ber dig att radera uppgifter, har du rutiner för att göra det?

Du kan läsa om hur 24SevenOffice behandlar personuppgifter i  Privacy Notice och i databehandlaravtal.

Ja, om du är kund hos 24SevenOffice behöver du ha ett databehandlaravtal. Men du behöver inte skriva under ytterligare dokument. När du godkänner Customer License Agreement (CLA) för att använda 24SevenOffice ingår du också 24SevenOffices databehandlaravtal.

Nej, ansvaret för att följa GDPR ligger på ditt eget företag. Det är ditt ansvar att följa bestämmelserna i GDPR, som inkluderar vilken typ av data du behandlar, den lagliga grunden för behandling och radering. 24SevenOffice hjälper dig att vara compliant genom att tillhandahålla 24SevenOffice ERP-tjänst och följa kraven till GDPR.

24SevenOffice har olika skäl för att behandla personuppgifter om registrerade personer. Det kan baseras på ett kontrakt (för att tillhandahålla 24SevenOffice ERP-tjänst), juridiskt (för att följa lagar och förordningar) eller med samtycke (t.ex. för att ge dig information)

Nej, samtycke är bara en av flera juridiska grunder för 24SevenOffice att behandla personuppgifter. Andra rättsliga grunder för behandling av personuppgifter kan vara där behandlingen är nödvändig för att fullgöra avtalet (leverera 24SevenOffice ERP-tjänst) eller där det finns juridiska skyldigheter att göra det.

24SevenOffice datacenter finns i EU/EES. 24SevenOffice MRP (Masterplan) är värd i USA. Se listan över 24SevenOffice-underleverantörer för mer information

24SevenOffice använder olika typer av underbehandlare som kan bli föremål för Schrems II-domen. Hosting av tjänsterna är huvudsakligen inom EU/EES, men ägandet av vissa av dessa underbehandlare kan vara i tredjeländer som USA (t.ex. AWS, Microsoft och Google). Se underleverantörlistan, inklusive vilken typ av ytterligare säkerhetsåtgärder de olika underprocessorerna erbjuder.

Nej, du har inte rätt att begära att personuppgifter raderas, bara för att det är personuppgifter. Du kan dock begära att vissa uppgifter kan raderas. Vilken typ av personuppgifter som kan raderas beror på underlaget för behandlingen, typen av uppgifter, deras relevans för ändamålet med behandlingen och om andra lagbestämmelser åsidosätter rätten till radering (t.ex. bokföringslagen i respektive land) . 24SevenOffice har rutiner för att hantera förfrågningar om personuppgifter från kunder.

Det finns inget universellt svar på denna fråga. Det beror alltid på varje specifikt fall. Den viktigaste aspekten är den tid som krävs för uppgifterna och hur mycket du lägger på externa konsulttjänster.