SuperSaaS bokningssystem och den nya dataskyddsförordningen – GDPR

Integritet

Den 25 maj 2018 trädde den nya Dataskyddsförordningen (GDPR – General Data Protection Regulation) i kraft. GDPR ska stärka skyddet av personuppgifter och rättigheter när det gäller personlig integritet. SuperSaaS verksamhet är fullt kompatibel med GDPR. Om du använder vårt bokningssystem för att lagra personligt identifierbar information, kan du behöva göra åtgärder för att säkra att din verksamhet följer den nya dataskyddsförordningen.

Vad är Dataskyddsförordningen (GDPR)?

Den nya Dataskyddsförordningen (GDPR) är en ny europeisk lag som trädde i kraft den 25 maj 2018. GDPR ersätter EU’s dataskyddsdirektiv och nationella regler, som till exempel personuppgiftslagen i Sverige och avser harmonisera dataskyddslagar i hela EU.

Den nya dataskyddsförordningen avser förbättra skyddet av personuppgifter och den enskildes rättigheter när det gäller personlig integritet. Den innefattar bland annat:

  • Transparens i insamling, analys och användning av personuppgifter
  • Rättigheter för individer att kunna begära tillgång till, såväl som rättelse eller borttagning av sina uppgifter
  • Begränsa behandling, insamling och lagring av personliga uppgifter, till specifika och nödvändiga syften
  • Regler om att informera myndigheter och berörda kunder i händelse av dataintrång
  • En enda harmoniserad lag för alla organisationer inom EU

Vilka är dina skyldigheter som SuperSaaS-kund?

SuperSaaS kunder agerar vanligen som behandlingsansvariga, d.v.s. personuppgiftsansvariga för alla typer av personuppgifter som lagras i användarregister, bokningsscheman eller formulär. SuperSaaS är en databehandlare, d.v.s. ett s.k. personuppgiftsbiträde som behandlar personliga uppgifter å den personuppgiftsansvariges vägnar, när du eller någon av dina användare nyttjar SuperSaaS. Den personuppgiftsansvariga (du) bestämmer syftet med och metoderna för hur personlig data behandlas, medan personuppgiftsbiträdet (SuperSaaS) behandlar datan å den ansvariges vägnar.

Eftersom ditt ansvar som personuppgiftsansvarig beror på typen av information som du samlar in och lagrar och hur syftet med detta motiveras, kan vi inte ge specifika riktlinjer här. Generellt bär personuppgiftsansvariga ansvaret för att implementera lämpliga tekniska och organisatoriska åtgärder för att säkra och uppvisa att all databehandling sköts i enlighet med dataskyddsförordningen (GDPR). Personuppgiftsansvarigas skyldigheter berör principer såsom lagenlighet, syftesbegränsning och uppgifters riktighet, såväl som att tillgodose individens rättigheter vad gäller deras uppgifter. Om du är personuppgiftsansvarig, kan du få vägledning angående ditt ansvar och dina skyldigheter när det gäller GDPR via Datainspektionens informationssidor. Det kan också vara en bra idé att vända sig till någon som kan ge oberoende juridisk vägledning, speciellt anpassad för din specifika verksamhet och bransch. På sidan verksamt.se finns en särskild GDPR-guide för dig som är företagare i EU.

Dessa punkter kan vara till hjälp för dig som är kund hos SuperSaaS:

  • Du kan aktivera SSL-kryptering (https) för ditt konto (via sidan Åtkomst).
  • Du kan kontrollera vem som har tillgång till informationen i ditt konto (via sidan Användarhantering).
  • Om du synkroniserar informationen i ditt SuperSaaS-konto med en tredjepart, t.ex. genom en webhook, kan du behöva verifiera att denna part också verkar i enlighet med GDPR, alternativt inaktivera kopplingen till dem (vilket kan göras på sidan Webhooks).
  • Du kan specificera vilken användardata, om någon alls, som ska vara synlig för andra användare. Detta görs via respektive schemas konfigurationssida, på fliken ”Åtkomst”. Du bör också alltid testa systemet ur användarens synvinkel för att säkerställa att allting fungerar och ser ut som avsett.
  • Du kan behöva ett databehandlingsavtal (Data Processing Agreement – DPA) som uppfyller kraven i den nya dataskyddsförordningen (GDPR). SuperSaaS kunder kan ladda ner ett utkast av ett databehandlingsavtal här som hjälp i förberedelserna inför att den nya lagen träder i kraft.

Vad gör SuperSaaS för att följa GDPR?

SuperSaaS är redan kompatibelt med EU’s gällande dataskyddsdirektiv som den nya dataskyddsförordningen (GDPR) kommer att ersätta. Vi kommer att vara fullt kompatibla med ytterligare krav som ställs i och med den nya dataskyddsförordningen, när den träder i kraft den 25 maj 2018. Här är några, men inte alla, åtgärder vi redan vidtagit, eller för närvarande arbetar med att implementera:

  • All kundinformation lagras på servrar inom EU. Våra servrar är belägna i toppmoderna datacenter med bevakning och säkerhet dygnet runt.
  • Kunder kommer att kunna se vilka uppgifter som lagrats gällande dem i våra system och har möjlighet att begära borttagning.
  • I de fall vi använder databehandlingstjänster från tredjepart för att lagra kunders information, säkerställer vi att databehandlingsavtal med dessa parter är på plats och att parterna är lokaliserade inom EU.
  • Vi har rutiner för vilka av våra anställda som har tillgång till kunduppgifter, inklusive för lämpliga åtgärder i det fall de skulle lämna sin tjänst.

Om du har frågor angående våra arbetsmetoder i relation till dataskyddsförordningen, är du välkommen att kontakta oss.