GDPR – dataskydd
Dataskyddsförordningen, GDPR, reglerar hantering av personuppgifter.
Som er affärspartner är About Time AB Personuppgiftsansvarig för uppgifter som lagras för att upprätthålla avtalsförhållande mellan oss och er som kund.
Som leverantör av TimeWave är About Time är även Personuppgiftsbiträde med bl.a. ansvar för att vårt affärssystem TimeWave stödjer er i ert ansvar som personuppgiftsansvariga.
Ni kan läsa om vårt ansvar som Personuppgiftsansvarig här och vårt ansvar som Personuppgiftsbiträde här.
Nedan text är en kort sammanfattning som i korthet avhandlar ert ansvar som tjänsteleverantör mot privatpersoner och företag enligt dataskyddsförordning, GDPR. Ni kan läsa mer om GDPR på About Time här »
GDPR för städ och tjänsteföretag
Om ni hanterar personuppgifter, tex för kunder eller anställda, anses ni (ert företag) vara personuppgiftansvariga och ni måste följa dataskyddsförordningen, även kallad GDPR.
Personuppgift
En personuppgifter är all slags information som kan knytas till en fysisk person. Typiska personuppgifter är t.ex. personnummer, namn och adress. För städföretag eller andra tjänsteföretag som arbetar mot privata hushåll är det ofta även nödvändigt att lagra personuppgifter som går utöver de grundläggande personuppgifterna som t.ex. namn, adress och personnummer. Som ex. kan man vid hemstädning hos en kund vilja lagra uppgifter om vissa hemförhållanden, t.ex. stökigt, har hund, allergisk o.s.v. Allt detta är att klassa som personuppgifter.
När får personuppgifter samlas in?
Insamling och hantering av personuppgifter måste ha ett tydligt skäl för att vara lagligt, så kallad rättslig grund. Dessutom får uppgifter som samlas in för ett visst syfte inte senare användas för ett annat syfte. Ex. på rättslig grund kan vara t.ex. avtal eller att kunden samtyckt till hanteringen.
Vilka rättigheter har era kunder?
Ni måste informera kunden om hur ni kommer att använda personuppgifterna, vem som är personuppgiftsansvarig och på vilken rättslig grund ni samlar in dem. Kunden har även rätt att få tillgång till sina personuppgifter, få dem rättade eller raderade.
Ert ansvar som Personuppgiftsansvarig
Kartlägg och etablera rutiner
Kartlägg och dokumentera var i företaget som ni hanterar personuppgifter, t.ex. kunduppgifter och identifiera var uppgifterna lagras, vilka som har tillgång till dem och om det föreligger några risker för uppgifterna. Skapa ett register som för varje område som bl.a. anger vem som är registeransvarig, vad registret används till och vilka typer av uppgifter som ingår.
Säkerhet
Se över era säkerhetsrutiner samt de IT-system som ni arbetar i. Bland annat bör ni begränsa åtkomsten till personuppgifter till de enbart de som behöver arbeta med dem, säkerställa goda rutiner för lösenord, säkerställa stöd för säkerhetskopiering och säkerställa rutin för att bekräfta att den kund som begär uppgifter även är den som den utger sig för att vara.
Anmälan om personuppgiftsincident till datainspektionen
Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång, måste ni anmäla den till Datainspektionen inom 72 timmar efter att ni fått vetskap om den. Ni kan också behöva informera de registrerade kunderna till exempel om det finns risk för id-stöld eller bedrägeri.