GDPR – Personuppgiftslagen

Läs vår personuppgiftspolicy

Den nya personuppgiftslagen (GDPR)

Den 25 maj 2018, trädde en ny personuppgiftslagstiftning i Europa i kraft, även känd som GDPR (Personuppgiftslagen). Lagstiftningen är avsedd att stödja EU-medborgarnas rättigheter på internet och att ge människor insikt i vilka data som företag i deras närhet lagrar, liksom möjligheten att be om att företaget ska ta bort dessa uppgifter.

Orderstyrning har länge arbetat för att skapa en grund som överensstämmer med lagar och regler för våra kunder. Uppdateringen är givetvis klar innan att lagstiftningen träder i kraft.

Nedan följer en sammanfattning av hur du hanterar GDPR som administratör i Orderstyrning.

Uppgifter som anses omfattas av lagen
Som användare i Orderstyrning arbetar du som utgångspunkt med personaldata och kunddata när du pratar om GDPR. Följande områden är för närvarande tillgängliga och omfattas av lagstiftningen:

Medarbetarinformation

o Namn
o Adress
o Telefon
o Mobil
o E-post
o Beskrivning
o Dokumentation

o Anställningsdatum
o Löneutvecklingen
o Kurser och vidareutbildning
o Sjukfrånvaro och orsak
o Övriga frånvaro skäl
o Utgångsdatum (utan beskrivning)

Kundinformation

o Kundnummer
o Namn
o Adress
o Telefon
o Mobil
o E-post
o Beskrivning
o Dokumentation

Kontaktperson

o Namn
o Adress
o Telefon
o Mobil
o Fax
o E-post
o EAN

Leveransadress

o Namn
o Uppmärksamhet
o Adress
o Telefon
o Mobil
o E-post
o EAN

Faktura / kredit

o Namn
o Attest
o Adress
o Telefon
o Fax
o E-post
o CC-e-post
o EAN

Generellt

o Sökande
o Referens

Ta bort eller anonymisering av data

Lagstiftningen tillåter att antingen ta bort data som kan kopplas till en person eller anonymisera uppgifterna i fråga. I Orderstyrning har vi valt den sistnämnda modellen, anonymisering.

Detta innebär att på begäran eller ett specificerat tidsintervall anonymiseras nämnd data genom att skriva över nämnd data med ordet ”borttaget” eller siffran ”0” beroende på typen av dataanordning.

Som utgångspunkt måste data skrivas över automatiskt när det inte längre finns någon relevant grund för att behålla dem. Formuleringen i lagen är väldigt vag, men vi har valt en utgångspunkt på 3 månader (90 dagar) från det senaste ändringsdatumet, varefter en automatisk överskrivning sker om inte uppgifterna fortfarande används.

Uppgifterna används om andra lagar, såsom bokföringslagen, hindrar oss från att skriva över det eller när uppgifterna uppdateras, till exempel genom att skapa nya order eller liknande.

I Sverige tillämpas lokala lagar gällande GDPR: s krav att skriva över data i följande scenarier:

Faktura och kreditnota

Om en faktura eller kreditnota har skapats på kunden måste dokumenten hållas i fem (5) år.

Erbjudanden

Om ett erbjudande har lämnats och erbjudandet har godkänts måste erbjudandet hållas inom ett (1) år.

System och kvalitetssäkring

Om formulär och/eller kvalitetssäkring har upprättats i ett ärende måste dessa uppgifter förvaras i tio (10) år.

Om ovanstående data lagras någon annanstans än med Orderstyrning finns det givetvis möjlighet att radera data.

Så här tar du bort/anonymiserar data i Orderstyrning

Om det finns ett krav på radering av personuppgifter krävs Orderstyrning per kontakt via e-post.

Vi arbetar med att möjliggöra för systemadministratörer att anonymisera specifika data via en GDPR-modul i systemet. Det förväntas att denna modul är redo per den 25 maj 2018. Du kan dock redan nu kontakta oss om personuppgifter ska raderas.

Förutom att tillhandahålla överskrivning av data är det Orderstyrnings skyldighet att begära radering hos underleverantörer och samarbetspartners som uppgifterna kan liggs hos. Det kan till exempel vara en anställds e-post i samband med en extra modul eller liknande.

Kom ihåg att data som lokaliseras på egen hand eller med andra systemleverantörer än Orderstyrning och där anslutningen inte initieras av Orderstyrning omfattas inte av ovanstående och att det är ditt eget ansvar att följa lagen.