Hva er GDPR?
GDPR står for General Data Protection Regulation og er EUs forordning for å styrke personvernet i dagens digitaliserte samfunn. GDPR trer i kraft som norsk lov 1.juli 2018. Alle bedrifter må da forholde seg til nye og strengere personvernkrav, blant annet knyttet til nye rettigheter for alle individer.
Les mer om GDPRog de nye reglene her.
Hvorfor GDPR?
Den nåværende Personvernloven er utdatert, spesielt i forhold til dagens internet og dagens teknologi. Personalisering av reklame var å skrive navnet til adressaten i brev, smarttelefonen var ikke oppfunnet, Facebook fantes ikke – vi brukte knapt internett.
GDPR er utformet for å gjøre opp for disse manglene, samt å styrke enkeltpersoners personvern og kontroll over sin egen data.
Hva vil de nye GDPR-reglene bety for min bedrift?
De nye GDPR-reglene stiller strengere krav til hvordan bedrifter behandler personopplysninger. Alle norske virksomheter vil også få nye plikter gjennom det nye reglementet.
Hva er en databehandleravtale?
Dersom du bruker en underleverandører til å behandle personopplysninger på dine vegne, krever GDPR at du inngår en skriftlig databehandleravtale som regulerer partenes plikter og ansvar. Avtalen sikrer blant annet at underleverandøren (databehandleren) ikke bruker opplysningene til annet enn det som er avtalt, at det er god nok sikkerhet, at partene hjelper hverandre med oppfyllelse av rettslige plikter etc.
DigiFix har databehandleravtale med våre leverandører. Du finner datbehandleravtalen vår her så snart den er på plass.
Hva er forskjellen på en behandlingsansvarlig og databehandler?
Behandlingsansvarlig:
Den som bestemmer formålet og hensikten med hvilke data som behandles og lagres. Behandlingsansvarlig plikter å påse at alle personvernkravene i GDPR etterleves.
Databehandler:
Behandler data på vegne av behandlingsansvarlig. Behandlingen reguleres gjennom en databehandleravtale mellom partene, hvor databehandleren plikter å påse at alle kravene i databehandleravtalen etterleves, både de som er fastsatt av GDPR, og de som er fastsatt av behandlingsansvarlig.
Eksempel:
Når du bestiller en abonnementstjeneste hos DigiFix, behandles informasjon tilknyttet dette til våre egne formål; fakturering, crm, logg. Vi vil også kunne opptre som databehandler, eksempelvis når vi tilbyr backupløsninger til bedrifter.
Hva betyr det at DigiFix er behandlingsansvarlig?
Når vi behandler personopplysninger for egne formål, anses vi å være behandlingsansvarlig, og vil ha det fulle ansvaret for at personvernreglene følges.
Det betyr blant annet at vi må ha et gyldig rettslig grunnlag for behandling av opplysningene, at vi må informere brukere om hvordan vi behandler opplysninger samt gi kunder anledning til å utøve sine rettigheter m.m.
Hva betyr det at min bedrift er behandlingsansvarlig?
Når bedriften din behandler personopplysninger for egne formål, anses dere som behandlingsansvarlig, og vil ha det fulle ansvaret for at personvernreglene følges. Det betyr blant annet at dere må ha et gyldig rettslig grunnlag for behandling av opplysninger, at dere må informere brukere om hvordan dere behandler opplysninger samt gi brukere anledning til å utøve sine rettigheter.
Dere må også ha databehandleravtale med alle underleverandører som behandler personopplysninger m.m. Du finner mer informasjon om plikter og ansvar som behandlingsansvarlig på datatilsynet.no.
Hva betyr det at DigiFix er databehandler for min bedrift?
Når DigiFix er databehandler plikter vi å behandle dataene på vegne av bedriften som beskrevet i databehandleravtalen, og vi kan ikke bruke opplysningene til egne formål.
Trenger vi som en bedrift en databehandleravtale med DigiFix?
Det kommer an på hvilke produkter og tjenester dere har hos oss. Dersom dere kun har kjøpt produkter og fått utført tjenester er det ikke nødvendig med en databehandleravtale. Om du har backupsystem i fra oss vil du trenge dette. Det er fordi DigiFix anses som behandlingsansvarlig som leverandør av vanlig support og salg.
Når vi leverer tilleggstjenester anses vi som regel å være databehandler, og da krever GDPR at det inngås en databehandleravtale. Ved å bygge databehandleravtalene inn i bedriftsvilkårene våre, sikrer vi at alle kunder har nødvendige databehandleravtaler på plass med oss.
Hvordan skal bedriften min forholde seg til DigiFix sine tredjeparter?
DigiFix har inngått egne databehandleravtaler med våre underleverandører. Dette sikrer at våre underleverandører følger GDPR og de forpliktelsene som følger av databehandleravtalene med våre kunder.
Se dokument om tjenestebeskrivelse for full informasjon.
Hvor finner jeg informasjon om mine rettigheter som ansatt?
Du kan lese mer om hvordan vi samler inn og bruker personopplysninger, hvilke rettigheter du har og hvordan vi sikrer opplysningene i vår personvernerklæring. Bedriften din bør også kunne gi deg informasjon om hvordan de behandler opplysninger om deg som ansatt.
Hvor lenge lagrer DigiFix personopplysninger?
I henhold til personvernreglene skal personopplysninger slettes når de ikke lenger er nødvendig for formålene som de ble samlet inn for. Vi har fastsatt ulike regler for sletting avhengig av type opplysninger, hva opplysningene brukes til og om det gjelder eksisterende eller avsluttede kundeforhold.
Eksempelvis lagres opplysninger om fakturaer og kvitteringer i regnskapssystemet etter regnskapslover. Informasjon om deg som fast kunde lagres i vår CRM for raskere og bedre kunne hjelpe deg ved en senere anledning. Dette lagres inntil du ønsker å avslutte kundeforholdet og ber oss om å slette deg. Opplysninger som er nødvendig for å avklare tvister lagres i inntil 3 år.
Hvor lagres personopplysninger?
Vi lagrer hovedsakelig personopplysninger i EU – i Norge, Sverige, Finland og Irland, men hovedsakelig i Norge. Vi tilstreber at alle tjenester skal holde informasjon om oss og alle våre kunder innenfor landegrensene. Lagringssted varierer noe ettersom hvilke produkter og tjenester vi tilbyr.
I behandlinger der vi anses å være behandlingsansvarlig, har vi også enkelte underleverandører i USA. Disse underleverandørene er pålagt særskilte plikter gjennom databehandleravtalen (Standard Contractual Clauses), og som er utarbeidet av EU-kommisjonen for å ivareta personvernet.
Hvordan vet jeg hvilke opplysninger DigiFix behandler og/eller lagrer på vegne av bedriften min?
Se dokument om tjenestebeskrivelse for full informasjon.
Har DigFix opplysninger om meg som ikke er nødvendige for å levere produktet bedriften min har kjøpt til meg?
Personvernreglene stiller krav til såkalt dataminimalisering. Det betyr at vi ikke har lov til å samle inn mer opplysninger enn det som er nødvendig i forhold til formålet med innsamlingen, og de produktene/tjenestene vi tilbyr.
Hvordan sikrer DigiFix at mine personopplysninger / opplysninger om min bedrift og ansatte håndteres på en sikker måte?
Informasjonssikkerhet er en viktig del av personvernet. Vi har iverksatt omfattende tekniske og organisatoriske tiltak for å sikre at personopplysninger ikke kommer på avveie, og at de øvrige kravene til sikkerhet i GDPR tilfredsstilles.
Mye av har denne informasjonen er hentet hos datatilsynet.