Sekretessinformation
Era personuppgifter & hur West-Tech hanterar dem i enlighet med GDPR.
West-Tech värnar sina kunders säkerhet och integritet. Denna webbplats (www.west-tech.se) är krypterad med HTTPS/SSL-certifikat och därmed bevisad säker anslutning. Kryptering minimerar risken för att obehöriga kan ta del av den data som skickas.
Läsa gärna igenom nedanstående summerande information då den beskriver hur West-Tech samlar in och hanterar era personuppgifter i enlighet med Dataskyddsförordningen (GDPR) samt behandlar kakor (cookies).
Acceptering av integritetspolicy
Vad som innefattar personuppgifter
Typ av personuppgifter West-Tech samlar in
Så här samlar West-Tech in personuppgifter
- – ni uppger själv när ni blir kund hos oss.
- – ni uppger när ni kontaktar oss i form av samtal, meddelande, chatt-konversationer och e-post.
- – skapas när ni använder våra tjänster – t ex när ni besöker vår hemsida och fyller i ett formulär.
- – hämtas från andra källor – t ex allabolag.se och facebook.com.
- – samlas via cookies/kakor som ger information om och från er webbläsare.
Det här använder West-Tech personuppgifter till
- Krav för att fullgöra avtalet med er.
- Krav för att fullgöra en för West-Tech rättslig förpliktelse.
- Behandlingen ligger i både ert och West-Tech’s intresse.
- Samtycke från er för just den behandlingen.
Så här länge sparar West-Tech personuppgifter
West-Tech sparar personuppgifter så länge det finns ett dokumenterat syfte för behandlingen. Cookies/kakor sparas upp till ett (1) år. Önskar ni att få er data hos West-Tech raderad enligt GDPR så är det möjligt. Kontakta då utsett dataskyddsombud Torbjörn Hillberg via info@west-tech.se
Till vem West-Tech kan lämna ut personuppgifter
Bokio | Molnbaserat bokföringsprogram. |
Dropbox | Molnbaserat lagringsutrymme. |
UC AB | Data som krävs för att kontrollera äktheten i de personuppgifter som anges vid beställning av tjänst. |
Analysdata via tredjepartscookie för marknadsföring och webbanalys. | |
Användning av cookies (kakor)
West-Tech’s webbplats använder kakor. En kaka (cookie) är en liten textfil som sparas i din dator. West-Tech använder två typer av kakor:
- Sessionskakor: En sessionskaka sparas bara temporärt under ert besök på webbplatsen och används till exempel för att hålla reda på om ni är inloggad eller inte.
- Permanenta kakor: Permanenta kakor sparas i en fil på er dator under en begränsad tid. De används för att förbättra er upplevelse som återkommande besökare av våra webbplatser. Vissa permanenta kakor är så kallade tredjepartskakor (kakor som sätts av tredje part) från verktyg som används i analyssyfte för att kunna förbättra tjänster och er upplevelse, samt för viss typ av marknadsföring.
Neka kakor
Er webbläsare kan ställas in så att den automatiskt nekar kakor. Ni kan också radera tidigare lagrade kakor. Läs mer er din webbläsares hjälpsidor för att ta reda på hur ni gör. West-Tech’s webbplats fungerar felfritt om ni nekar persistenta kakor och tredjepartskakor, men om ni nekar sessionskakor kan det inte garanteras att webbplatsen fungerar som utlovat då till exempel funktionalitet som att hålla er inloggad inte är möjlig.
Mer information om kakor
Lär er mer om kakor på Post- och telestyrelsens hemsida.
Önskar ni en kopia på West-Tech’s integritetspolicy eller har några funderingar är ni välkomna att kontakta utsett personuppgiftsombud: Torbjörn Hillberg (info@west-tech.se)
Senast uppdaterad: 2018-05-25
Information till de kunder som önskar uppfylla GDPR
Överskådlig förklaring till det nya lagkravet
Ingen har väl undgått att den nya dataskyddsförordning (GDPR) trädde i kraft i den 25:e maj 2018. I korthet innebär den skärpta krav på behandlingen av personuppgifter vilket kommer innebära ökat skydd för privatpersoner men även ställa högre krav på er som företag vid hanteringen av personuppgifter.
Insamling av personuppgifter sker kontinuerligt och oundvikligt för i princip alla verksamheter. Många har nu lagt ner mycket tid och resurser på att anpassa sig till GDPR. Men det finns även en flertalet företag som har haft fullt upp med jobb och således inte haft tid att sätta sig in i vad GDPR är och hur det faller in i förhållande till dess verksamhet.
Det är viktigt att säkerställa att ni kan fortsätta samla information och kontaktuppgifter inom ramen för vad som tillåts. Dels för att inte bötfällas för lagbrott men även för att ge era kunder ett seriöst och förtroendeingivande intryck när dem besöker er webbplats. Med de nya reglerna är det numera avgörande att de personer ni kommer i kontakt med eller kontaktas av samtycker till att ni lagrar deras personuppgifter. Jag har det senaste tagit del av Dataskyddsförordningens rekommenderade material gällande ärendet och även kontaktat en advokatbyrå för att korrekt kunna informera mina kunder om GDPR. Här har jag överskådligt sammanställt vad som gäller och vad ni måste göra för att följa lagkravet.
Juristens svar på mina kunders vanligaste frågor:
Vad är den största skillnaden med den nya GDPR lagen?
Vad är en personuppgift?
Vad menas med ett samtycke?
Hur kommer man som privatperson uppleva skillnad?
Goda råd i samband med den nya lagen?
Vem och vilka företag gäller GDPR för?
- namn
- adress
- fotografi
- plats
- e-postadress
- hälsoinformation
- inkomst
- IP-adress
Detta behöver ni som hemsideägare tillämpa på er webbplats för att uppfylla de nya kraven:
Manuell genomgång – Data Audit
Gå igenom och granska er webbplats. Ett tips är att lista alla datahanterande system som används och markera dessa med 1 eller 3 beroende på om de är förstahands- eller tredjehandshanterare. För alla tredjehandshanterare, undersök om de följer GDPR. De som inte gör det måste bytas ut. Gäller alla system som Analytics, Dibs, Klarna, Mailchimp, Live-chat osv. När en datahanterare avslutas och ersätts, be om en kopia på all data som har samlats in hittills och begär sedan att leverantören raderar all denna data hos sig. Datahanterare i förstahand, t.ex. webbplatsens egna databas, kan spara information i onödan som till exempel data från ifyllda formulär och liknande. Bäst är att på en gång tömma alla dessa databaser om inte datan måste sparas till varje pris. Försök konfiguera webbplatsens inställningar så data inte sparas om det inte behövs, alternativt att databasen töms regelbundet. Amerikanska tjänster (Google, Mailchimp, Salesforce m.fl) bör också följa Privacy Shield riktlinjerna som reglerar på vilket sätt personliga data ska flöda mellan USA och Europa. Detta är ett annat kapitel och berör främst er som bedriver e-handel där webbplatsen är öppen för amerikanska besökare. Läs mer på https://www.privacyshield.gov
SSL-certifikat – Krypterad bevisad säker anslutning
SSL är nödvändigt för att uppfylla de nya reglerna enligt GDPR. Er hemsidas webbadress ska alltså börja med https://, inte endast http:// och då indikeras detta i de flesta webbläsare med ett grönt nyckellås i adressfältets början. De flesta av mina kunder har idag redan ett certifikat men ni som ligger utanför serviceavtalet bör dubbelkolla. Ett SSL-certifikat upprättar ni hos ert webbhotell och det finns ofta flera olika att välja på i olika prisklasser. De flesta webbhotellsleverantörerna erbjuder idag även gratis SSL till sina kunder. Skillnaden mellan ett gratis certifikat och ett som kostar per månad eller år är obetydlig sett till säkerhet eller funktion då det endast är utfärdaren och namnet som skiljer. Vid aktivering krävs det att hela hemsidan och WordPress-installationen pekas om från http till https vilket jag hjälper er med om ni önskar. Det tar mig vanligtvis 2-3h och inkluderar ett utökat funktions- och prestandatest för att säkerställa att både ert certifikat och er webbplats fungerar felfritt. Inga löpande kostnader tillkommer vid gratis SSL.
Integritetspolicy / Personuppgiftspolicy – Privacy Policy
Upprätta eller uppdatera er webbplats dedikerade undersida som beskriver er integritetspolicy (Privacy Policy). Även kallat personuppgiftspolicy. Detta är en av de absolut viktigaste delarna ni bör se till för att uppfylla det nya lagkravet. Denna sida ni besöker nu är ett exempel på en dedikerad undersida för sekretessinformation. Och det behöver inte vara mycket mer information än den i sektionen i grått ovan. Där berättar ni hur och varför användardata samlas in, erbjud en kopia/nedladdningsbar version av policyn och berätta att det går att få sin data raderad enligt GDPR. Denna sekretessinfo eller privacy policy måste även skrivas på ett enkelt språk som majoriteten kan förstå utan juridiska förkunskaper. Likaså måste det synligt redovisas för den senaste uppdateringen av integritetspolicyn vid informationen. Längre ned på denna sidan under kontaktformuläret har jag inkluderat två enklare exempel på hur en integritetspolicy kan se ut för ett företag.
Pseudonymisation – Pseydonymity
Pseudonymity eller pseudonymisation innebär anonymisering av personuppgifter och kopplad data, något som ert CMS helst ska stödja framöver. Samtliga kunder inom serviceavtalet hos West-Tech har CMS som stödjer detta och kan förbise denna punkt. Det är för er resterande kunder en högre nivå att nå inom GDPR och bör med fördel planeras för redan nu. Användare ska kunna identifieras endast med ett användarnamn och övrig insamlad data ska vara krypterad så det inte finns någon möjlighet att göra en koppling mellan en användare och sparad information.
Visa information om integritetspolicy & kakor(cookies) samt möjligheten att neka villkoren för kakor – User Compliance
Villkor för cookies, information om integritetspolicy och användandet av webbplatsen måste synas direkt på webbplatsen, t.ex. i en så kallad cookie-bar som ni ser eller såg fastklistrad längst ned i er webbläsare när ni anlände till denna hemsidan. Valet att acceptera eller neka gäller endast hanteringen av kakor, men ni måste också tydligt hänvisa till er dedikerade undersida med informationen om er integritetspolicy. En traditionell cookie-bar och en så kallad ‘soft compliance’ (information i stil med att om du fortsätter på webbplatsen så accepterar du automatiskt villkoren) räcker inte längre. Det måste numera finnas två val, att acceptera eller att inte acceptera(neka). Cookie-baren eller motsvarande plats för acceptansval måste vara synlig i samtliga webbläsare.
Att använda hemsidan utan cookies Det är även bra om hemsidan kan användas utan cookies, men då räcker det med att vara tydlig med att viss funktionalitet uteblir (funktionalitet som samlar eller hanterar personliga uppgifter ska då ej vara tillgänglig). Denna information tas med på er undersida som presenterar er integritetspolicy.
Dataskyddsombud – Data Protection Officer (DPO)
Webbplatsägaren (kunden, uppdragsgivare) ska ha en medarbetare som är utsedd till Dataskyddsombud, (eng. DPO) med ansvar att hantera GDPR frågor och säkerställa att riktlinjerna efterlevs. Kontaktuppgifter till dataskyddsombudet ska finnas på webbplatsen, exempelvis på kontaktsida och på sida med integritetspolicyn.
Handlingsplan för överträdelser
Det måste finnas en fördefinierad handlingsplan för att upptäcka, rapportera och undersöka överträdelser vid hantering av användardata, s.k. data breaches. Planen ska vara upprättad i huvudsak av webbplatsägaren, men det är bra om jag som er personliga support känner till den också för att kunna vara behjälplig. Om allvarlig överträdelse skett då individers rättigheter riskerar att ha komprometterats skall detta anmälas. Datainspektionen har en bra förteckning om vart man vänder sig i olika fall: https://www.datainspektionen.se/om-oss/det-har-gor-vi-inte/ Är risken allvarlig kan de drabbade individerna behöva informeras också. Att inte göra anmälan kan medföra böter i sig, utöver eventuella böter för att inte ha uppfyllt GDPR som beskrivits i ovan texter.
Kontaktformulär
För varje kontaktformulär ni eventuellt har på er webbplats behöver ni nu tillämpa funktionen att besökaren aktivt medger att den godkänner/accepterar er integritetspolicy/personuppgiftspolicy.
Nyhetsbrev
För er kunder som använder er av nyhetsbrev så måste dem ha länk till förklaring gällande vilken information du sparar och hur den hanteras. Inga formulär får ha redan ikryssade rutor för att samtidigt ta emot nyhetsbrev. Finns flera nyhetsbrev måste vart och ett få en egen checkbox för godkännande (det räcker inte att inhämta ett enda okej för flera olika nyhetsbrev och typer av utskick). Varje nyhetsbrev måste innehålla tydlig avanmälningar(Unsubscribe), avsändarinformation och kontaktinformation.
Testa om er hemsida/webbplats uppfyller GDPR
Gå gärna igenom en guide för att se hur väl er webbplats och ni som företag uppfyller GDPR. Det finns flera kostnadsfria alternativ tillgängliga att hitta online. Och självklart flertalet alternativ med premium-nivåer.
Önskar ni få hjälp med att integrera GDPR på er hemsida?
Jag gör då en snabb utvärdering av er webbplats inför GDPR och ser vilka åtgärder som krävs.
Därefter återkommer jag med en offert och informerar er om hur vi går vidare i arbetet.
Kontakta mig via kontaktformuläret nedan så löser vi något smidigt och enkelt.
Önskar ni få hjälp med att integrera GDPR på er hemsida?
Jag gör då en snabb utvärdering av er webbplats inför GDPR och ser vilka åtgärder som krävs. Därefter återkommer jag med en offert och informerar er om hur vi går vidare i arbetet. Kontakta mig via kontaktformuläret nedan så löser vi något smidigt och enkelt.
Sammanfattning
Säkerställ att du kan följa rättigheterna
GDPR kommer innebära förbättrade rättigheter för dina kunder. För ett mindre företag är “rätten att bli informerad”, “rätten till tillgång” och “rätten till radering” de viktigaste att hålla koll på. Procedurer för att radera eller förse individer med all personlig data måste tillämpas den 25:e maj 2018 men det är självfallet bättre sent än aldrig.
Kartlägg befintlig data
Organisera och dokumentera den kunddata ditt företag samlar in och lagrar. Var kom datan ifrån? Hur samlades den in? Vad används den till? Vem delar ni informationen med? Detta är exempel på frågeställningar ni behöver kunna svara på.
Se över ert företags sekretesspolicy
Efter GDPR’s införande kommer företag behöva förklara hur de bearbetar data i sin sekretesspolicy. Denna ska även innehålla information om hur länge datan lagras och vilka rättigheter individen har att motsätta sig och kommentera denna hantering.
Säkerställ samtycke
Se över hur ni samlar in samtycke för datahantering av individer. När GDPR införs måste samtycke till lagring av personlig data vara ett aktivt, frivilligt val, det ska också tydligt framgå vad individen samtycker till och vilken data som sparas om hen. Samtycket ska registreras så att det kan bevisas senare av företaget.
Spåra dataintrång
Se till att det finns procedurer för att upptäcka, undersöka och rapportera potentiella dataintrång i era databaser och på er webbplats.
Informera hela företaget
Hela företaget, inte bara du, bör ges generella kunskaper om GDPR och vilka förändringar införandet innebär. Företag som brukar datainsamling och datahantering om privatpersoner kommer att behöva utse en formell DPO, Data Protection Officer. DPO:n kommer att ha det yttersta ansvaret för att GDPR följs i företaget. Det skadar så klart inte att utse en informell DPO även för företag som endast hanterar företagsuppgifter.
Undvik dyra böter
Straffskalan vid överträdelse eller brott mot den nya lagen kommer även att förändras. Ett företag som bryter mot GDPR kan bötfällas med 4 procent av organisationens årliga omsättning eller upp till tjugo miljoner euro. Ovan nämnda straff är maxsatser och är avsedda för de grövsta formerna av övertramp men en ny, skärpt straffskala ska implementeras tillsammans med GDPR även för mindre överträdelser.
Enkelt exempel på integritetspolicy
Personuppgiftspolicy
Din personliga integritet är viktig för oss och vi arbetar på olika sätt för att skydda och respektera den. Inte minst genom att följa dataskyddsförordningen (GDPR). Bland annat genom att inte använda dina personuppgifter till mer än det nödvändiga, men även genom att arbeta seriöst med säkerhet och dokumentation. På den här sidan har vi försökt samla all information om vår syn på integritet och vårt integritetsarbete. Här finns även fakta och verktyg som du har nytta av i ditt GDPR-arbete. Du är välkommen att kontakta oss om du har frågor eller förbättringsförslag.
Vilket tillämpningsområde gäller denna personuppgiftspolicy
Denna policy gäller för personer som besöker www.exempel.se Den gäller också vid nyttjande av någon av våra tjänster och paket samt våra kanaler på sociala medier. Personuppgifter är information som enskilt eller i kombination med andra uppgifter kan användas för att identifiera dig som användare som en fysisk nu levande person. Det kan t.ex. vara ditt namn, din e-postadress eller ditt telefonnummer.
Uppgifter och data som vi samlar in och hur den används.
Vårt främsta syfte för att behandla dina personuppgifter är för att vi ska kunna fullfölja åtaganden mot dig som kund men vi samlar även in uppgifter om dig som ännu inte är kund men som vill bli kontaktad av oss.
Säkerhet
Vi skyddar dina personuppgifter genom en kombination av tekniska och organisatoriska lösningar. Åtkomstsystem krävs för tillgång till samtliga av våra system som hanterar personuppgifter. Våra anställda och samarbetsparnters samt personuppgiftsbiträde och underbiträde ska följa våra interna informationssäkerhetspolicy. Personuppgifter som skickas in till oss utan att det efterfrågats kommer inte att sparas längre än ett år, undantaget gäller spontana ansökningar eller avtalsärenden.
Personuppgiftsbiträde
Vi agerar som personuppgiftsbiträde för dig som kund till någon av våra tjänster. I ett sådant läge krävs ett personuppgiftsbiträdesavtal mellan dig som kund och oss. Vi agerar i enlighet med instruktion som bifogats personuppgiftsbiträdesavtalet. Ett personuppgiftsbiträde upprättas med alla våra kunder.
Överföring av information
Vi sparar vår information inom EU. Bokföringsdata sparas i Sverige eller av Skatteverket godkänt land. Vi säljer inte vidare någon kundinformation till 3:e part. Kontaktinformation som behövs för direktreklam kan behandlas av våra biträden.
Ändringar av denna personuppgiftspolicy
Uppdateringar och förändringar i denna personuppgiftspolicy publiceras på denna sida.
Senast uppdaterad: 2018-05-25
Enkelt exempel på integritetspolicy
Sekretesspolicy & GDPR
Denna sekretesspolicy gäller för vår insamling av information, främst via webbplatsen (www.exempel.se). Genom att använda denna webbplatsen godkänner du den hantering av personuppgifter som anges i denna policy. Vi tillämpar den nya dataskyddsförordningen (GDPR).
Insamling av Dina personuppgifter
För att kunna erbjuda våra tjänster till dig behöver vi ta del av dina personuppgifter. Information som insamlas via hemsidan kan komma att kombineras med information som erhållits via andra kommunikationsmedel och även från andra företag. Exempelföretaget håller reda på hur du navigerar på www.exempel.se, de webbsidor du besöker och andra aktiviteter på denna webbplats för att avgöra vilka delar av webbplatsen som är mest populära. För att kunna öka servicegraden samlar vi även in viss information om ditt operativsystem och din browser/webbläsare när du besöker webbplatsen. Denna information kan inkludera: Din IP-adress, typ av browser, domännamn, antal besök, populära sökningar och referenser från andra webbplatser. Informationen används till att skapa statistik angående användningen av webbplatsen.
Användning av Dina personuppgifter
Vi samlar in och använder dina personuppgifter för att driva webbplatsen och för att leverera de tjänster som du har efterfrågat. Till exempel använder vi din e-postadress du gett oss för att sända meddelanden till dig. För vissa kunder samlar vi in personnummer för att via vår faktureringspartner Klarna öka säkerheten och kunna ha möjlighet att kontrollera kreditvärdigheten. Geografisk lokalisering används endast i marknadsförings- och statistiksyfte. Med undantag för vad som anges nedan kommer de personuppgifter som du tillhandahåller på denna webbplats inte att vidarebefordras utanför www.exempel.se och närstående bolag utan ditt tillstånd. Vi kan komma att lämna ut dina personuppgifter om lagen så kräver, eller om Exemeplföretag i god tro anser att detta är nödvändigt för att: (a) uppfylla föreskrifter i lag eller rätta sig efter ett rättsligt beslut som delgivits oss, (b) skydda och försvara rättigheter eller egendom tillhörande oss eller (c) under extraordinära omständigheter skydda den personliga säkerheten för användare av vår webbplats eller våra tjänster, dess webbplatser eller personer ur allmänheten. Personuppgifter som insamlas av oss kan lagras och bearbetas inom EU.
Skydd av Dina personuppgifter
Exempelföretag är inriktat på att skydda dina personuppgifter. Vi använder omfattande säkerhetsteknik och processer för att skydda dina personuppgifter från obehörig åtkomst.
GDPR – vad är det?
GDPR, eller dataskyddsförordningen som den också kallas, är en ny lag som innehåller regler över hur man får behandla personuppgifter. Lagen gäller från och med 25 maj 2018 i alla länder inom EU och ersätter den tidigare personuppgiftslagen (PUL). Den nya lagen innebär att du som kund och uppgiftslämnare får ett starkare integritetsskydd och utökade rättigheter. I korthet innebär dessa rättigheter att du ska få information om hur dina personuppgifter behandlas. Därför har du bland annat rätt att i vissa fall få dina uppgifter blockerade, raderade eller rättade. Vill du läsa mer om den nya dataskyddsförordningen (GDPR) kan du besöka Datainspektionens hemsida.
Ändring av policy
Exempelföretag uppdaterar ibland denna sekretesspolicy. När vi gör det kommer vi även att ändra datumet för ”senast uppdaterad”. Om det är väsentliga förändringar kommer vi att meddela dig detta genom att placera ett tydligt meddelande på webbplatsen. Det är viktigt att du regelbundet läser igenom denna sekretesspolicy för att hålla dig informerad och uppdaterad om hur exempelföretaget hjälper till att skydda din information.
Senast uppdaterad: 2018-05-30
Vidare läsning om GDPR
Ett givet tips är Datainspektionens sida om GDPR: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/
Där hittar du också denna överskådliga GDPR-guide till små- och medelstora företag: https://www.datainspektionen.se/Documents/Dataskydd%20-%20B%C3%A4ttre%20…