C4 Contexture och GDPR

Bakgrund

När programvaror används som ingår i C4 Contextures programserie sparas personuppgifter. All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i de nationella bestämmelser som omfattas av General Data Protection Regulation (GDPR). Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade syften och att mängden uppgifter ska begränsas till vad som är nödvändigt för syftet. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa syften och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska ansvara för och kunna visa att nationella bestämmelser följs (ansvarsskyldighet).

Rättslig grund

För att det ska vara tillåtet att alls behandla personuppgifter måste det alltid finnas ett stöd i nationella bestämmelserna, en så kallad rättslig grund. En sådan rättslig grund är t.ex. samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning, samt efter en intresseavvägning.

Syftet med personregistret

Den rättsliga grunden för att spara personuppgifter (användarnamn) i C4 Contexture bygger på just fullgörande av avtal. Som arbetsgivare krävs lagring av personuppgifter för att kunna ge användaren tillgång till systemet.

Information som behandlas av C4 Contexture

C4 Contexture behandlar följande användargrunduppgifter kring kundens användare:

  • Namn
  • Användarnamn
  • Mailadresser för notifiering
  • Lösenord om LDAP koppling saknas

 

Samtycke krävs inte

Inga användargrunduppgifter i C4 Contexture kräver samtycke enligt nationella bestämmelser (dataskyddsförordningen i Sverige). All information i C4 Contexture vilar på fullgörande av avtal.

Samtyckesavtal

Lämpligt är att upprätta ett och samma avtal med en medarbetare som omfattar företagets alla sparade personuppgifter. Rekommendationen är att arbetsgivaren tecknar ett avtal med den anställde där det anges att den anställde skall följa företagets riktlinjer och policys. I riktlinjer och policys specificeras sedan hur personuppgifter hanteras i företaget. Uppgifter om en anställd och kanske bild kan  komma att användas i företagets utåtriktade verksamhet, dvs. på hemsidor, i företagspresentationer, etc. Den typen av personuppgifter kräver samtycke.

Personuppgiftsansvarig

Personuppgiftsansvarig är den organisation som bestämmer för vilket ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Den som är personuppgiftsansvarig kan överlåta behandlingen av personuppgifter men ansvaret kan aldrig överlåtas. Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med nationella bestämmelser. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige. Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan vara att man har antagit en policy med strategier för dataskydd och ser till att genomföra den. Uppförandekoder och certifieringar kan vara ett annat sätt att visa att man uppfyller de nationella bestämmelserna.

C4 Contexture begränsar givetvis inte möjligheten att lägga in data i systemet eller i fritextfält och liknande skriva vadhelst  användaren önskar. T.ex. vid uppladdning av bilder i C4 Contexture finns personuppgifter från fotograf och vid uppladdning av fakturor finns information om fakturamottagare. Det är då upp till den personuppgiftsansvarige att reglera detta och hantera det rättsligt. C4 Contexture kan bistå i raderingen och gallring om kunden önskar hjälp. Notera att som personuppgiftsansvarig har man hela ansvaret, ett ansvar som inte kan delegeras.

Personuppgiftsbiträde

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person. De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Biträdet får inte anlita ett annat biträde utan att på förhand få ett skriftligt tillstånd av den ansvarige. Vissa skyldigheter som tidigare gällt för den personuppgiftsansvarige gäller nu även för biträdet, som kraven på att föra register över behandlingar, att säkerställa en lämplig säkerhetsnivå och att i vissa fall utse ett dataskyddsombud. Även personuppgiftsbiträdet kan bli föremål för tillsyn eller administrativa sanktionsavgifter och bli skadeståndsansvarig. Personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Avtalet ska bland annat innehålla instruktioner för hur personuppgiftsbiträdet får behandla personuppgifterna.

Dataskyddsombud

Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen följs genom att t.ex. utföra kontroller och informationsinsatser. Ett Dataskyddsombud behöver endast utses i speciella fall. De uppgifter som hanteras i C4 Contexture är inte tillräcklig grund för att ett dataskyddsombud skall vara nödvändigt

Rätt till information

Den registrerade har rätt att få information när dennes personuppgifter behandlas. Informationen ska tillhandahållas kostnadsfritt i en lättillgänglig, skriftlig form. Information om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen ska framgå.

Rätt till rättelse

Varje person har rätt att vända sig till företaget som behandlar personuppgifter för att få felaktiga uppgifter rättade. Det innebär också att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med behandlingen. Att den som behandlar personuppgifter också själv måste se till att uppgifterna är korrekta och uppdaterade framgår redan av de grundläggande principerna i dataskyddsförordningen. I detta avseende finns få personuppgifter i C4 Contexture, det ligger givetvis i både företagets och den enskildes intresse att eventuella felaktigheter snarast korrigeras.

Dataportabilitet

Den som har lämnat sina personuppgifter har också i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot personuppgifterna får inte hindra en sådan överflyttning av personuppgifter. Förutsättningen är att personuppgifterna behandlas med stöd av ett samtycke eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana uppgifter som den registrerade själv har lämnat. C4 Contexture ger möjlighet att ta ut personuppgifterna om en person vid önskemål från kund.

Rätt till radering – gallring

En medarbetare har rätt att vända sig till företaget och be att uppgifterna som avser denne raderas. Uppgifterna måste raderas i det fall att uppgifterna inte längre behövs för de ändamål som de samlades in för eller behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket. I C4 Contexture kan en användare avpersonifieras och ersättas med en anonym, icke spårbar användare vid önskemål om radering.

Gallra säkerhetskopior

För att en säkerhetskopia från C4 Contexture ska vara meningsfull att återställa måste den vara aktuell. De får högst vara någon eller några dagar gammal. Man får ta som regel att genomföra gallring direkt efter att en säkerhetskopia eventuellt har återställts. Äldre kopior raderas i sin helhet.

Fysisk miljö

C4 Contexture är en lokalt installerad applikation där både program och datainformationen normalt finns inom den egna arbetsplatsen eller hos driftspartner. På samma sätt som man skyddar annan egendom med lås och andra hinder ska detta givetvis också göras med den datainformation som sparas vid användning av C4 Contexture. Det är alltid det enskilda företaget som har ansvaret avseende behörighet, åtkomlighet, virusskydd, etc.

Vid dataintrång

Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta rapporteras till nationellt ansvarig instans. Det gäller både vid dataintrång eller om det begåtts ett misstag. Vid anmälan ska det framgå vilka uppgifter som läckt ut samt att alla personer som incidenten berör måste informeras inom 72 timmar från upptäckt.

Vid ett eventuellt dataintrång hos C4 Contexture eskaleras det enligt följande:

  1. 0 tim – Intrånget upptäcks
  2. 1 tim – Anmälan till Ledningsgruppen
    1. Påbörja minska skadan
    2. Ta fram vilka uppgifter som blivit läckta
    3. Ledningsgruppen utser vem som tar kontakt med de som fått sina uppgifter läckta
  1. VD anmäler till kund senast inom 72 timmar
    1. Påbörja minska skadan
    2. Ta fram vilka uppgifter som blivit läckta
    3. Ledningsgruppen utser vem som tar kontakt med de som fått sina uppgifter läckta
    4. I anmälan ska det ingå vilka delar som blivit läckta

 

Internet och e-post

I C4 Contexture finns ett antal funktioner som innebär att programmet är uppkopplat mot Internet. Där finns möjligheten att skicka e-post och digitala brev från C4 Contexture. Här lämnar bara information som skickas i klartext och länkar in i systemet, ofta som någon typ av notifiering. Önskar kunden kontroll av innehåll i mailet sker det i kundens mailserver.