Hoppa till innehållet
Norsk
23 - 24SO - Icons stack

Hur påverkar GDPR mitt företag?

Under 2018 fick vi en ny integritetsförordning som ska skydda alla individer mot felaktig användning av personlig information. Förordningen heter "The General Data Protection Regulation", mer känd som GDPR.

Personuppgifter har på många sätt blivit en valuta i nivå med pengar. Informationen kan t.ex. användas för att anpassa relevant marknadsföring och kommunikation i olika kanaler, baserat på ditt engagemang på olika onlineplattformar. Detta är inte nödvändigtvis negativt, men om sådan information å andra sidan används för att förse dig med specialanpassat innehåll som hjälper till att förändra din uppfattning om världsbilden är vi snabbt på en farlig väg.

Få av oss är intresserade av att tredje part har känslig information om oss. Å andra sidan är det inget nytt eller fel i att samla in personuppgifter, men det är viktigt att detta görs på ett sådant sätt att enskilda inte kränks.

Förordningen har därför kommit till för att skydda individer från samhällen där den tekniska utvecklingen och användningen av stora datamängder ("big data") går i rasande fart och lagstiftningen inte kan hänga med. Även om förordningen gäller inom EU och EES, har andra länder som USA sina egna regler.

Mycket av fokus kring GDPR i pressen har handlat om konsekvenserna av att inte följa förordningen. Vid överträdelse av bestämmelserna kan man få böter på upp till 4 % av den årliga globala omsättningen eller 20 miljoner euro, vilket som är det högsta beloppet. För många är detta skäl nog att ta GDPR på allvar. Det är ändå viktigt att ta hänsyn till hur ditt företag ska leva efter riktlinjerna för GDPR i vardagen, så att detta inte bara blir en checklista som bockas av för att visa att reglerna följs.

 

Vad är GDPR?

GDPR eller The General Data Protection Regulation ger individer mer kontroll över personuppgifter, oavsett om de betraktas som kunder, potentiella kunder, leverantörer eller anställda. De viktigaste rättigheterna kan sammanfattas på följande sätt:

 

  1. Att ge eller återkalla samtycke
    Du har rätt att ge eller återkalla samtycke relaterat till användningen av dina personuppgifter.

  2. Rätt till tillträde
    Du har rätt att få information om vilken typ av personuppgifter som har registrerats och lagrats om dig.

  3. Rätt till rätt information
    Du har rätt att begära att felaktiga uppgifter om dig rättas.

  4. Rätt att bli bortglömd
    Du har rätt att kräva att ägaren av ett register raderar personuppgifter om dig. Om du har en kundrelation med ett företag är det bokföringslagen som gäller. Företag är skyldiga att föra bokföringshandlingar som t.ex. inkommande och utgående fakturor under en viss tidsperiod. Företaget kan därför inte radera dig från sina register innan denna period löper ut. Däremot kan du begära att bli borttagen från t.ex. att få nyhetsbrev.

  5. Rätt att exportera data
    Du har rätt att få dina personuppgifter exporterade i ett maskinläsbart format

  6. Rätt att bli informerad
    Du har rätt att bli informerad när personuppgifter om dig som individ samlas in. Du har även rätt att få information om det har skett ett dataintrång hos ägaren av ett register inom 72 timmar efter att dataintrånget har upptäckts.

 

Hur påverkar GDPR din verksamhet?

"Jag förstår att företag som Google och Facebook följs noga i förhållande till GDPR.
Men jag är bara ett litet konsultföretag med ett fåtal anställda. Vi kommer nog aldrig att bli kontrollerade".
En vanlig daglig chef i ett litet företag

Ja, GDPR gäller för alla företag, oavsett om du är stor eller liten, arbetar med privatkunder eller företagskunder. Du ansvarar för att personuppgifter i din verksamhet följer reglerna och att information inte kommer på avvägar.

Integritetsskyddsmyndigheten säger: "Personuppgiftslagen innehåller några integritetsprinciper som alla företag måste följa. En av principerna är ansvarighet. Denna princip innebär att verksamheten ska ha full överblick över sin behandling av personuppgifter och genomföra tekniska och organisatoriska åtgärder för att säkerställa att lagen följs. Detta innebär att varje enskild verksamhet måste göra många viktiga bedömningar på egen hand – innan de samlar in och använder personuppgifter.”

GDPR handlar om integritet, säkerhet, transparens och förtroende. Men GDPR kan också vara ett bra tillfälle för ditt företag att bygga ännu bättre kundrelationer, baserat på professionellt bemötande och förtroende.

I dag har du registrerat uppgifter om dina kunder, leverantörer och potentiella kunder, såsom namn, adresser och mailadresser, där du möjligens också har kategoriserat dem utifrån intressen eller köphistorik, så att du kan ge dina kunder goda kundupplevelser.

När sådan data lagras är det viktigt att tänka på GDPR. Du är lagligt skyldig att spara en del av denna information, såsom faktura- och bokföringsbilagor, medan andra uppgifter måste vara ändamålsenliga att spara. Här är några frågor du kan ställa om dina egna förvaringsrutiner.

 

Vad kan du göra?

Här är några råd om vad du kan göra i ditt företag:

  1. GDPR är en kontinuerlig process!
    Det bör införlivas i alla affärsrutiner. Detta är inte ett engångsjobb som du kan bocka av som avslutat.

  2. Be om samtycke!
    Vad uppnår jag genom att spara denna information? Är det relevant eller nödvändigt att spara denna information? Kan jag dokumentera att samtycke har getts? Hur erhölls informationen? Gör det till en rutin att be om samtycke för att spara data. Tänk på att om du har bett om samtycke från någon så gäller det tills personen drar tillbaka det. Kom ihåg varför du bad om samtycke och att informationen inte får användas för andra ändamål än de för vilka de samlades in, eller för vilka samtycke gavs.

  3. Måste jag samtycka till allt?
    Du behöver inte be om samtycke till allt. Du har förmodligen redan en uppbyggd kunddatabas med befintliga kunder och prospekts. För att bedöma om du får behålla dina personuppgifter enligt GDPR måste en konkret bedömning av underlaget för behandling göras. Det kan vara information du måste ha för att kunna fakturera eller hålla kontakt med en kund. Detta kallas att fullföra det avtal du har med din kund. Det finns även vissa andra villkor där det finns rättsliga skyldigheter, uppgifter som ska utföras i det allmännas intresse eller i offentlig myndighet.

  4. Utse ett dataskyddsombud
    En av de första sakerna du kan göra är att utse ett dataskyddsombud eller någon som är ansvarig för dataskyddet i din verksamhet. För offentliga verksamheter och större företag som behandlar personuppgifter i stor skala krävs detta enligt lag. Många företag har inte detta krav, men de är fortfarande skyldiga att följa GDPR-kraven. Det rekommenderas därför att du utser ett dataskyddsombud, även om detta inte krävs enligt lag. En dataskyddsombud bör tilltala temaene i det här dokumentet och se hur ditt företag hanterar detta på en daglig basis.

  5. Vart ska de som har förfrågningar om GDPR vända sig?
    Om någon vill att du ska radera dem från dina register, eller vill få den information du har registrerat om dem. Vart vänder de sig? Hur utförs uppgiften? Om du använder 24SevenOffice kan du enkelt utföra sådana uppgifter från privacymodulen. Denna är behörighetskontrollerat, så om du inte har aksess till denna, fråga administratören i din verksamhet eller kontakta 24SevenOffice för vägledning.

  6. Sätt rutiner för att radera gamla data
    Är det värt besväret att föra 8-åringsanteckningar om en prospekt du var i kontakt med men aldrig fick? Skapa rutiner för när data ska och inte bör raderas, så att du undviker missförstånd.

  7. Var sparar jag mina dokument?
    Du bör spara på en dokumenterad plats där du vet att lagring sker i enlighet med GDPR-lagstiftningen. 24SevenOffice lagrar data i enlighet med dessa regler

  8. Vem har tillgång till mina uppgifter?
    Vi lever i en vardag där data från olika IT-system allt mer flyter ihop mer sömlöst. Vi får allt mindre ett förhållande till var data faktiskt finns. En sak är att data finns i ett GDPR-kompatibelt affärssystem som 24SevenOffice. Men vilka andra integrationstjänster som du har anslutit har tillgång till din data? Har dessa leverantörer bra GDPR-rutiner på plats?

  9. Kategorisera dina kunder
    Skapa kategoriserade listor över personer som inte längre vill ta emot information. Det är inte populärt om personer som har bett om att inte få information från dig ändå får t.ex. nyhetsbrev. Använder du flera verktyg för utskick? Pratar dessa tillsammans? Använd ett centralt CRM-register som master för att behandla denna typ av data.

  10. Ha en plan för vad du ska göra om något går fel!
    Det är din skyldighet att meddela alla i ditt register om du skulle råka ut för ett dataintrång. Detta ska göras inom 72 timmar efter att inbrottet skedde. Då kan det redan vara för sent att etablera rutiner och planera hur detta ska kommuniceras. Ha en plan för detta i förväg.

  11. Välj ett affärssystem som tar GDPR på allvar
    Väljer du 24SevenOffice har du valt en leverantör som tar GDPR på allvar.

 

Är 24SevenOffice "GDPR-kompatibel"?

GDPR handlar inte så mycket om de IT-verktyg du använder, utan om hur du använder dem. Använder du 24SevenOffice har du ett säkert verktyg för att spara korrekt information, men även möjlighet att radera data om detta krävs. Samtidigt kan du på ett enkelt sätt lämna information om vad som finns registrerat om en person. Uppgifterna lagras inom EU/EES och följer strikta lagringskrav i förhållande till bokföringslagen. 24SevenOffice är ISO 27001 certifierat, vilket innebär att informationssäkerheten är tatt seriöst på alla nivåer i organisationen.

 

Har jag ett databehandlingsavtal med 24SevenOffice?

Alla som har en användare i 24SevenOffice har accepterat licensvillkoren vid skapande av användaren. När du godkände dessa villkor godkände du även ett databehandlingsavtal som 24SevenOffice har med dig som användare.

Databehandlaravtalet finns att läsa i sin helhet här

För att rädda miljön från onödiga utskrifter kan du länka till denna sida i din GDPR-dokumentation.

 

Hur behandlar 24SevenOffice mina uppgifter?

Utöver databehandlingsavtalet har 24SevenOffice en integritetspolicy eller Privacy Notice som det refereras till internationellt. Detta beskriver vilken typ av data som 24SevenOffice samlar in och hur den används. Här hittar du också mer information om dina rättigheter som privatperson, om du är användare av 24SevenOffice eller om du är registrerad i ett register skapat av en verksamhet som använder 24SevenOffice som IT-verktyg.

Privacy Notice kan läsas i sin helhet här

Både databehandlingsavtalet och Integritetsmeddelandet är skrivna på engelska, då 24SevenOffice är ett internationellt företag, där förfrågningar om detta ofta kräver ett internationellt språk.

 

Sammanfattning

Låt dig inte skrämmas av GDPR. Detta är lagstiftning utformad för att skydda både dig och mig. Det är klart att det är något du måste ta ställning till om du ännu inte börjat tänka på GDPR i din verksamhet. När detta väl är på plats måste GDPR vara en del av hur verksamheten fungerar framåt, den måste vara en integrerad del av sättet att tänka och arbeta. Använd GDPR som en konkurrensfördel. Visa dina kunder att du tar integritet och säkerhet på allvar och att du är en säker och seriös operatör.

Detta är inte ett juridiskt dokument, eftersom innehållet endast är utformat för att ge information om integritet och GDPR. Om du har frågor om behandlingen av personuppgifter om dig själv av en verksamhet som använder 24SevenOffice, kontakta denna verksamhet och inte 24SevenOffice.

 

Dela artikel

Del på Facebook Del på Twitter Del på LinkedIn