Inexchange & GDPR
Frågor och svar
- Vad betyder GDPR?
- Vad menas med personuppgift?
- Vad är syftet med GDPR?
- Vad innebär GDPR för förändringar för mig som kund till InExchange?
- Mina fakturor innehåller personkänslig information om mina kunder. Hur hanteras det av er?
- Påverkas min ”lagringstid” på InExchange Network av GDPR och vad händer med mina fakturor om jag väljer att sluta vara kund hos InExchange?
- Var lagras, rent fysiskt, informationen som kunden skapar till vårt förfogande?
- Använder ni eller annan part informationen som kunderna skapar på annat sätt än avsett ändamål? Om den nyttjas av annan part: vem/vilka är det?
- Hur ser er övervakning och incidenthantering ut?
- Gäller GDPR enbart privatpersoner eller berör reglerna likaså personer som har enskild firma?
- Står bokföringslagen, som säger att jag ska spara bokföring på papper och digitalt i sju år, över GDPR-bestämmelserna?
- Vad innebär ”Rätten att bli glömd”?
- Efter att jag begärt att mina uppgifter ska plockas bort – när måste dessa uppgifter senast vara borta?
Vad betyder GDPR?
GDPR står för General Data Protection Regulation. Det är ett EU-anpassat dataskyddsdirektiv som ska skydda vår personliga integritet när personuppgifter behandlas. I Sverige ersätter GDPR den gamla personuppgiftslagen (PUL).
Vad menas med personuppgift?
Med personuppgift avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Även bilder och ljudupptagningar på individer som behandlas i dator kan vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter, exempelvis IP-nummer, räknas som personuppgifter om de kan kopplas till fysiska personer.
Vad är syftet med GDPR?
Syftet med lagen är att stärka skyddet för fysiska personer vid behandling av personuppgifter. Personuppgifterna kan utgöras av information om såväl anställda som kunder eller potentiella kunder. EU hoppas med GDPR att få fram en samständighet bland EU:s medlemsstater gällande den här typen av regelverk. Tidigare har det varit upp till varje land att tolka direktivet om skydd av personuppgifter, men från och med 25 maj 2018 gäller samma lagtext i alla EU-länder.
Vad innebär GDPR för förändringar för mig som kund till InExchange?
Det innebär inga större ändringar förutom att InExchange och kunden måste teckna ett så kallat personuppgiftsbiträdesavtal. Det skickar vi till kunder alternativt att kunder får godkänna avtalet via InExchange Network.
Mina fakturor innehåller personkänslig information om mina kunder. Hur hanteras det av er?
I och med personuppgiftsbiträdesavtalet behandlar InExchange personinformation enligt lagen.
Påverkas min ”lagringstid” på InExchange Network av GDPR och vad händer med mina fakturor om jag väljer att sluta vara kund hos InExchange?
Din lagringstid påverkas inte av GDPR eftersom kunden har rätt enligt intresseavvägning att ha kvar fakturor som innehåller personinformation.
Var lagras, rent fysiskt, informationen som kunden skapar till vårt förfogande?
I Europeiska unionen.
Använder ni eller annan part informationen som kunderna skapar på annat sätt än avsett ändamål? Om den nyttjas av annan part: vem/vilka är det?
Nej.
Hur ser er övervakning och incidenthantering ut?
Övervakningen av hårdvara, samt OS, sker dygnet runt via vår hosting partner. Inre komponenter i plattformen övervakas och hanteras av tekniker hos InExchange.
Gäller GDPR enbart privatpersoner eller berör reglerna likaså personer som har enskild firma?
Ja, även personer med enskild firma är nu levande fysiska personer och omfattas därför av reglerna om skydd för personuppgifter i GDPR.
Står bokföringslagen, som säger att jag ska spara bokföring på papper och digitalt i sju år, över GDPR-bestämmelserna?
Nej, GDPR är en EU-förordning och gäller före svensk nationell rätt. Men GDPR ger möjlighet att lagra uppgifter som krävs i unionsrätt eller nationell rätt. Exempelvis den svenska bokföringslagen.
Vad innebär ”Rätten att bli glömd”?
Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Om uppgifter raderas på den enskildes begäran måste företaget eller myndigheten också informera dem som de har lämnat ut uppgifter till om raderingen.
En extern person som vill få sina uppgifter raderade hos InExchange måste vända sig till sin egen organisation. Vi kan inte verkställa en radering förrän den enskildes organisation inkommer med en bekräftelse som verifierar att det är rätt person som ska tas bort. Processen måste alltså skötas från personens organisations sida.
Efter att jag begärt att mina uppgifter ska plockas bort – när måste dessa uppgifter senast vara borta?
Personuppgifterna hamnar i ett gallringsurval och tas sedan bort alternativt anonymiseras efter tre månader.
Datainspektionens frågor och svar om EU:s dataskyddsreform: