Denna sida ersätter ersätter information som publicerades i januari 2018.

Video: Spellista med samtliga filmer om nya funktioner i samband med GDPR (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

 

Nyheter

Bakgrund

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL). Vi på BRP Systems gör vårt yttersta för att erbjuda våra kunder verktyg som kan hjälpa personuppgiftsansvarig fullgöra skyldigheterna enligt förordningen.

Begrepp

Registrerad = Den person som registreras i systemet. I regel kunder eller anställda.
Systemet = Affärssystemet BRP Systems, exklusive integrationspunkter som hårdvara, kundanpassningar och integrationer med tredje part.
Systemleverantören = BRP Systems AB
Kunden = Juridisk person som köper tillgång till Systemet som tjänst av Systemleverantören
Personuppgift = Varje upplysning som avser en identifierad eller identifierbar fysisk person
Behandling = En åtgärd eller kombination av åtgärder beträffande personuppgifter
Pseudonymisering = Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används
Personuppgiftsansvarig = Juridisk person som registrerar personer. I detta fall bolaget som driver anläggningen.
Användare = En person som använder Systemet å Personuppgiftsansvarigs vägnar (i regel en anställd)

Om dokumentet

Detta dokument syftar till att internt och för Systemleverantörens kunder dokumentera:

  1. Ansvarsfördelning mellan kunden och Systemleverantören

  2. Systemleverantörens planerade utveckling av Systemet för att hjälpa våra kunder i samband med GDPR (åtgärderna i dokumentet är dock inte slutgiltiga och kan komma att ändras)

  3. Potentiell framtida utveckling som kommer erbjudas som tillval av systemleverantören och inte kommer ingå i basfunktionaliteten av Systemet

  4. Tips till våra kunder på konfigurationer och rutiner hänförliga till Systemet för att efterleva kraven i GDPR

Ansvar

Den som behandlar personuppgifter, t.ex. genom insamling, lagring eller på annat sätt, är antingen personuppgiftsansvarig eller personuppgiftsbiträde och GDPR uppställer olika krav och skyldigheter beroende på vilken kategori man tillhör.

Med avseende på behandling av personuppgifter inom ramen för Systemet är våra kunder generellt att anse som personuppgiftsansvariga och Systemleverantören är personuppgiftsbiträde.

Vi uppmanar våra kunder att tillsammans med en legal rådgivare överväga och bedöma hur GDPRs krav påverkar just er. Denna informationsbroschyr är endast avsedd att informera om hur Systemleverantörer arbetar i sina förberedelser inför GDPRs ikraftträdande och ska inte på något sätt ses som en komplett guide eller specifik rådgivning till nödvändiga åtgärder i samband med GDPR.

 

Om ni exporterar information från BRP till ett externt system, exempelvis genom API-integrationer eller exportmallar, behöver ni själva säkerställa att informationen i det externa systemet hanteras på ett sätt som är förenligt med GDPR.


Utveckling av funktionalitet för GDPR

Vissa vidareutvecklingar av produkten blir en del av basfunktionaliteten. Andra blir tillgängliga som tillval som en del av produkten "GDPR tools". Prissättning meddelas vid en senare tidpunkt.

Resterande sidor i dokumentet beskriver Systemleverantörens ändringar av funktionalitet i Systemet.

Informationen, den planerade utvecklingen och rutinerna är samlade under de områden av GDPR som de huvudsakligen berör.

Underrubriken “Rutiner” riktar sig till Personuppgiftsansvarig (systemadministratör eller övrig personal) med förslag i samband med konfiguration av den nya funktionaliteten samt vid daglig drift. 

Ändringarna är tillgängliga från version 2018.1002. Merparten av våra kunder uppdateras under april 2018.

 

Generellt

Inställningar relaterade till dessa ändringar har samlats under Inställningar > Kategori > GDPR.

Vissa inställningar är bara tillgängliga om tillvalet "GDPR Tools" beställts och har aktiverats i installationen.

Avtal och samtycke (basfunktionalitet)

Information

Enklast ses alla köp av tjänster och andra produkter som ingångna avtal. För att leverera tjänsten behöver ni grundläggande personuppgifter för att kunna:

Observera att även om Systemet hindrar massutskick från personlista när samtycke till massutskick via e-post saknas, kan enstaka mail eller uppföljningspunkter skickas via e-post vilket är nödvändigt vid exempelvis förfallen faktura. Ta hänsyn till detta när ni formulerar texterna för samtycke. Om ni inte bedömer att ni kan skicka enstaka e-postmeddelnden från uppföljningspunkter utan samtycke behöver ni inaktivera uppföljningspunkterna och se över era rutiner.

Ny funktionalitet - avtalsvillkor vid registrering

Video "Avtalsvillkor vid registrering" (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Ny funktionalitet - samtycke till massutskick

Video "Samtycke till massutskick" (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Rutiner

Begränsa lagring av personuppgifter (basfunktionalitet)

Information

För att anonymisering ska vara möjlig behöver personuppgifter så långt det är möjligt hållas till personobjektet så att en anonymisering blir fullständig.

Ny funktionalitet

Rutiner

Begränsa tillgång till personuppgifter (basfunktionalitet)

Video: Begränsa tillgång till personuppgifter (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Information

För att personuppgifter inte i onödan ska visas för användare som inte behöver dem införs nya rättigheter, möjligheter att begränsa resultat i sökningar och aktiv visning av uppgifter i kombination med loggning.

Ny funktionalitet - begränsa antal träffar vid personsökning

Ny funktionalitet - begränsa tillgången till personuppgifter efter behov

Rutiner

Manuell anonymisering (basfunktionalitet)

Information

Anonymisering gör så att information som registrerats i Systemet inte längre kan tillskrivas en verklig person. När en registrerad person ska betraktas som ej aktiv och eventuellt anonymiseras beslutas av personuppgiftsansvarig.

Ny funktionalitet - Manuell anonymisering

Video: Manuell anonymisering (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

För att bli anonymiserad/markerad för anonymisering får personen inte

Det som händer när en anonymisering slutförs för en person

Rutiner

Automatiserad anonymisering (tillval GDPR tools)

Information

En samling verktyg som med regler och automatisering underlättar anonymisering.

Innan ni aktiverar automatiserad markering och slutgiltig anonymisering, testa urvalen ordentligt genom att använda funktionen "Lista inaktiva personer".

 

Ny funktionalitet

Video: Automatiserad anonymisering (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Med inställningen "Rensa fritextfält vid anonymisering" görs också följande vid anonymisering

Rutiner

Gallring

Information

I direktivet beskrivs hur anonymisering och gallring kan användas för att inte uppgifter ska lagras längre än nödvändigt. Personuppgifter kan gallras manuellt. Vi har valt att initialt fokusera på anonymisering eftersom gallring av bokningar, köp, besök med mera kraftigt skulle begränsa följande funktioner:

Kommunikation med tidigare registrerade personer (tillval GDPR tools)

Information

Om ni bedömer det vara förenligt med GDPR (intresseavvägning) kan ni aktivera en funktion som vid anonymisering överför personens e-postadress till ett externt e-postsystem, exempelvis MailChimp. På så sätt kan ni informera kunder om era tjänster trots att personen inte längre är registrerad i Systemet.

Ny funktionalitet

Rutiner

Om funktionen aktiverats och det vid markering för anonymisering finns skäl till att inte överföra personen till ett ett externt e-postsystem, inaktivera “Tillåt massutskick via e-post”.

Slutet system för spärrade personer (tillval GDPR tools)

Information

Även personer som inte betalat sina skulder eller fått anmärkningar på grund av beteende som strider mot avtalet har rätt att anonymiseras. Personuppgiftsansvarig kan då välja att lägga personen till ett slutet system som kan fungera som verktyg för att hindra dessa kunder från att åter registrera sig som kunder.

Ny funktionalitet

Video: Slutet system för spärrade personer (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Rutiner

Fastställ en tydlig policy där det framgår när ni spärrar en person. Överväg att informera om policy i avtalet. Ge endast ett fåtal personer tillgång till listan över spärrade personer.

Information om registrerade personuppgifter (basfunktionalitet)

Information

Registrerade personer ska enkelt få tillgång till information om vilka personuppgifter som normalt registreras och hur de används.

Ny funktionalitet

Rutiner

Formulera en tydlig policy där det framgår vad som registreras och hur uppgifterna används.

Utdrag från personregister (tillval GDPR tools)

Information

En registrerad person som begär ett utdrag av vad som registrerats har rätt till detta. Eftersom det är viktigt att informationen endast lämnas ut till den registrerade personen och ingen annan behöver Registrerad besöka anläggningen så att identifiering är möjlig.

Ny funktionalitet

Video: Utdrag från personregister (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Rutiner

Skapa en rutin för hur en person som begär utdrag från personregistret ska identifiera sig, vem som gör utdraget, vilken information utdraget ska innehålla och om informationen ska överlämnas direkt på plats eller efter ett antal dagars väntetid. Tänk även över hur filen ska lämnas över. Några möjliga lösningar är på papper eller genom USB-minne eller liknande. Tänk på att det inte är lämpligt att skicka personuppgifter via e-post.

Hantering av barns personuppgifter (basfunktionalitet)

Information

Om ett barn är under 16 år är behandling av personuppgifter endast tillåten om föräldern ger samtycke. Barn förekommer i systemet som deltagare på arrangemang (exempelvis simskolor) där beställaren är en förälder, eller som registrerade personer för exempelvis abonnemang eller tjänstebokningar.

Ny funktionalitet

Video: Hantering av barns personuppgifter (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Rutiner

Rätt till invändning (basfunktionalitet)

Information

Registrerad person har rätt att invända om registrering eller behandling av personuppgifter skett utan avtal eller samtycke.

Rutiner

Vid invändning från registrerad, rätta eller anonymisera registrerad information.

Personer som registrerats innan GDPRs inträde

Information

Om ni gjort ändringar i avtalet i samband med GDPR har tidigare registrerade personer inte läst eller godkänt dessa.

Rutiner

Bedöm om ni anser att ni med hänvisning till intresseavvägning kan välja att endast genom utskick och skyltar på anläggningarna informera om det nya avtalet och er personuppgiftspolicy, eller om ni behöver inhämta godkännande från samtliga registrerade personer.

Rätt till rättning (basfunktionalitet)

Information

Registrerad person har rätt att lämna nya uppgifter om de som registrerats inte stämmer, exempelvis om namn eller adress är felaktiga.

Ny funktionalitet

Rutiner

Rätten att bli bortglömd

Information

Begäran om radering måste ha en grund, exempelvis att samtycke saknas. Förfrågan hanteras på anläggningen eftersom bedömning av personal och ID-kontroll behöver göras.

Rutiner

Dataportabilitet

Information

Omfattar bara information registrerad person matat in, exempelvis spellistor i Spotify. Ej profilering eller automatiskt registrerad information. Vi bedömer inte att denna typ av begäran är tillämpbar för den data som lagras i Systemet.

Automatiskt beslutsfattande

Information

Behöver bara begränsas om regler ger betydande påverkan för person. Vi bedömer inte att Systemet innehåller automatiska funktioner av denna typ.

Hantering av kontaktpersoner och leads

Information

Personer som inte är kunder eller anställda saknar avtal och har inte gett samtycke till registrering. Registrera endast dessa i systemet om ni bedömer att hanteringen kan vara tillåten med hänvisning till intresseavvägning.

Direkt märkbara förändringar vid uppdatering

De flesta funktiner som medför ändringar i samband med GDPR aktiverar ni med inställning, men följande träder i kraft direkt vid uppdatering

Backoffice / "Swing"

Förenklade kundrutiner

Internetbokning "kundwebb"

Webbaserade tjänstebokningar

Tillägg till API

 

Ändringar API2

Ändringar API3


Mer tekniska detaljer finns i API-dokumentationen.

Övrig information

Dataskyddsförordningen i sin helhet (Datainspektionen)

 

Internutbildning video

https://drive.google.com/a/brpsystems.se/file/d/0B88GK7XRSoMdYmd4RDlpZUEyazQ/view?usp=sharing

Konfiguration

Vid beställning av GDPR Tools

  1. Uppdatering om nödvändigt
  2. Aktivera licens i prod (Elin). GDPR tools aktiveras under natten mha feature toggle.
  3. Verifiera att kunden konfigurerat automatisk anonymisering på det sätt de önskar innan schemalagda aktiviteter aktiveras.
  4. Aktivera schemalagd aktivitet "Markera inaktiva personer för anonymisering"
  5. Aktivera schemalagd aktivitet "Slutför anonymisering på markerade personer"
  6. Inaktiera schemalagd aktivitet "Radering av inaktiva personer". Om denna var aktiv sedan tidigare, stäm av med kunden.