GDPR och Companyexpense

Feb 5, 2018

Companyexpense hjärta GDPR

Från och med 25 maj 2018 träder det nya EU-direktivet och dataskyddsförordningen GDPR (General Data Protection Regulation) i kraft. Regelverket innebär utökade krav vid hantering av personuppgifter. GDPR ersätter den nuvarande personuppgiftslagen (PUL). Syftet är både att stärka personers integritetsskydd och harmonisera handeln inom EU.

Mängden data som är knuten till en person, och som hanteras av exempelvis myndigheter molntjänster och företag, ökar hela tiden. Därför har behovet av att fastställa regler kring hanteringen av denna data också varit växande. Med GDPR följer att personuppgifter inte bara skyddas – det måste också finnas en legitim grund för själva datainsamlingen och personen i fråga ska ges möjlighet att ge sitt samtycke till denna process. Grunden är att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Precis som tidigare gäller att bara samla in och lagra de personuppgifter som är nödvändiga, och bara spara dem så länge de behövs. Dessutom ska uppgifterna bara användas till sitt ursprungssyfte, så det gäller att vara tydlig från början. Det hårdare informationskravet om syftet med insamling av personuppgifter är en av skillnaderna, och att det ska bli lättare att få sina uppgifter korrigerade, överflyttade eller borttagna.

Hur påverkas Companyexpense?

Det är både nya rutiner och nya hjälpmedel som måste vara på plats avseende support och drift åt våra kunder för att vi ska kunna fullgöra våra förpliktelser som personuppgiftsbiträde. Anpassningar och förstärkt skydd är också prioriterat, exempelvis när det gäller rutiner för borttag av personuppgifter och förbättrad kryptering vid dataexport.

Som tjänsteleverantör är utmaningen således inbyggt systemstöd för integritet (Privacy by Design), för det handlar egentligen inte om att skydda data i första hand utan att designa system så att data inte behöver skyddas. Eftersom syftet med insamling och lagring av personuppgifter måste vara väl dokumenterat och ska förmedlas till de registrerade, är det naturligt att systemen också begränsar vilket data som hanteras. Vi måste också säkerställa att det bara är de som behöver tillgång till uppgifterna som får det, så att dataåtkomsten sker utifrån olika roller och behörigheter.

Du kan läsa mer om hur Companyexpense arbetar med integritet och säkerhet här >>

 

Hur påverkas jag som kund?

Den nya dataskyddsförordningen är inte en juridisk revolution. Mycket av det som företag har att förhålla sig till i PUL, ingår också i GDPR. Det finns dock nya inslag. Som att förordningen är tydlig med att företag måste känna den data de hanterar och de system de hanteras i – en princip som kallas för Privacy by Default. Det här ansvaret går inte att outsourca till ett företags IT-partner. Varje organisation måste kunna besvara grundläggande frågor om denna data – behövs de här uppgifterna, hur har de samlats in och vem har tillgång till informationen.

Alla företag som lagrar uppgifter om personer i ett system är personuppgiftsansvariga och ska se till att behandlingen av personuppgifterna sker enligt lagen. För dig som kund innebär det att du är personuppgiftsansvarig för din organisation och att Companyexpense blir ditt personuppgiftsbiträde.  Detta innebär bland annat att det är du som personuppgiftsansvarig som måste inhämta tillstånd från dina användare att lagra deras personuppgifter i Companyexpense. Detta beror bland annat på att om mer data hanteras än vad som kan anses nödvändigt, för att till exempel betala ut ersättning för ett utlägg, måste den anställde ge sitt samtycke till att informationen lagras.

För att förenkla för dig som kund har vi valt att informera om vilka uppgifter som kan lagras i Companyexpense och i vilket syfte i våra Allmänna villkor.

I Companyexpense går det att både ta del av samt korrigera och radera uppgifter som exempelvis inte är nödvändiga för bokföringen. Men det är alltid företaget som använder tjänsten som är personuppgiftsansvarig som måste säkerställa att uppgifter får raderas. Det kan finnas krav i lagstiftning som innebär att uppgifterna måste finnas kvar, till exempel bokföringslagen. Personuppgifter får nämligen både lagras och behandlas i strid med GDPR om det är nödvändigt för att uppfylla en rättslig förpliktelse inom Sverige eller EU. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.

Utöver detta kommer vi under våren lansera funktioner som vi tror kommer ha stor efterfrågan och som underlättar för användaren, exempelvis att man ska kunna göra registerutdrag själv med alla uppgifter som lagrats för en användare.