Har ni hört talas om GDPR men kanske inte själva börjat arbeta med detta är det hög tid att göra så. SFVF har tagit fram en guide anpassad för er som verkstad för att ni ska kunna skapa nya rutiner och säkerställa att dessa följs när ni behandlar personuppgifter. Ta er gärna tio minuter och läs igenom guiden med 10 punkter. Om ni har svar på dessa tio punkter kan svaren utgöra underlag för en förteckning.
Guide fordonsverkstad, GDPR:
1) GDPR i korthet
GDPR är en ny dataskyddsförordning som träder i kraft den 25 maj 2018 och ersätter Personuppgiftslagen (PUL). Syftet med denna är att enhetliga regler för behandling av personuppgifter ska gälla inom hela EU som ska stärka skyddet för enskilda personer. Detta innebär att verkstaden måste säkerställa nya rutiner för att stärka skyddet och rättigheter för de personer som registreras. Detta måste göras för att företagen nu har strängare krav på hur de får samla in och använda personuppgifter. Tillsynsmyndighet är Datainspektionen.
2) Vad är en personuppgift?
Namn, personnummer, registreringsnummer, adress, e-postadress, postadress, foton, bild- och ljudupptagningar som går att härleda till en fysisk person faller under begreppet personuppgift. Uppgifterna berör alltså fysiska personer, både kunder och anställda. Personuppgifter kan samlas in genom samtycke, laglig grund eller avtal. Personuppgiftsansvarig är ert företag.
3) GDPR, skillnader mot PUL
- En viktig skillnad är de nya sanktionsavgifter som innebär att företaget kan få upp till 4 % i böter av omsättningen om lagen inte följs.
- Den som ska visa att lagen följs är nu verkstaden vilket innebär att dokumentation kring hur du hanterar personuppgifter måste skapas.
- En viktig skillnad är även att personer som förekommer i verkstadens register i vissa fall nu har rätt att tvinga verkstaden att visa vilka personuppgifter som finns och i vissa fall har rätt att bli borttagna.
- Om ett dataintrång sker som rör personuppgifter ska detta rapporteras till Datainspektionen inom 72 timmar
4) Vad krävs av verkstaden?
- Verkstaden kan behöva skapa en förteckning som exempelvis sparas i ett excel-ark över hur företaget behandlar sina personuppgifter. Gäller alla uppgifter som inte sparas tillfälligt utan regelbundet.
- Det ska även finnas med kontaktuppgifter till företaget. Verkstaden ska förklara var personuppgifter förekommer, ex. i kundregister, kontaktuppgifter på webbplats, i bokningssystem etc.
- Det bör även finnas med vilka kategorier av personer och uppgifter som förekommer, ex. kunder, personal, leverantörer
- Förteckningen ska innehålla en tidsgräns för borttagning av uppgifter (ett slags schema för gallring).
- Om uppgifter överförs till tredje part måste information finnas med om detta
- En beskrivning av säkerhetsåtgärder som används vid behandling (om möjligt).
5) Verkstadens kundregister och bokningssystem
- Kontrollera om kundernas personnummer verkligen nödvändigt att spara i kundregistret och varför i så fall, vad ska det användas till? Detta bör förklaras i förteckningen.
- Spara endast så mycket uppgifter som behövs för att uppfylla avtalet med kunden när denne köpt ett arbete av verkstaden.
- Kontaktuppgifter och adress kan i regel sparas utan samtycke. Övriga ”privata uppgifter” som specifika kundönskemål kräver samtycke. Automatisk kallelse och reklamutskick är uppgifter som i regel kräver samtycke och detta behöver därför informeras om på arbetsorder
6) Reklam och nyhetsbrev
- Reklamutskick från kundregister kräver samtycke. Ny information ska därför läggas till på utskicket om att kunden har rätt att kunna säga nej till denna reklam och att bli borttagen från de här utskicken. Ett samtycke nås genom att kunden inte hör av sig till företaget och meddelar att denne vill bli borttagen.
- Att skicka e-post till personer som ej är kunder utifrån köpta e-postadresser är inte ok enligt marknadsföringslagen och ska undvikas.
- När utskick görs till kunder som baseras på fordonsuppgifter där informationsbärare och källa är Transportstyrelsen ska myndigheten anges som adresskälla. Dessa tjänster köps ofta in av verkstaden via tredje part. Då Transportstyrelsen i nuläget inte har uttalat sig om GDPR kan de här utskicken i nuläget vara ok att göra.
7) Företagets E-post och webbplats
- Inga känsliga uppgifter bör skickas via e-post såsom lönespecifikationer.
- Nödvändiga uppgifter ska istället förvaras i lönesystem, avtalspärmar etc.
- Känsliga uppgifter som skickas eller mottages via e-post ska alltså föras över till ett annat system och e-posten ska sedan raderas. Upprätta därför en rutin för detta i förteckningen.
- Bestäm hur länge er e-post behöver sparas och när det raderas.
- Använd inte kontaktformulär på webbplatsen som auto generar personuppgifter
- Uppgifter och foton på anställda på webbplatsen, inhämta helst samtycke först. Företagets intresse kan dock väga över individens vad gäller att exempelvis publicera namn och bild på en kundmottagare på webbplatsen. I sådana fall behövs inget samtycke.
8) Leverantörer
Juridiska personers uppgifter omfattas ej av GDPR. Uppgifter för personer som jobbar på dessa företag är nödvändiga att spara för att verkstaden ska kunna uppfylla sina avtal.
9) Hur länge ska uppgifter sparas?
- Arbetsorder/faktura 7 år enligt Skatteverket. Laglig grund för att spara.
- Kunduppgifter i kundregister kan sparas i 1 år efter avslutad kundrelation. Reklamutskick kan göras i upptill 1 år efter avslutad kundrelation enligt Datainspektionen.
- Serviceprotokoll som omfattar personuppgifter kan sparas så länge fordonets garantitid gäller, uppgifterna behövs därför här för att verkstaden ska kunna uppfylla avtalet med kunden.
- Skapa rutiner i förteckningen kring hur länge olika uppgifter sparas och rutiner för när de raderas.
10) IT-säkerhet
- Kolla med er IT-leverantör så att denna hanterar ert system för personuppgifter på ett säkert sätt.
- Se till så att ni använder antivirusprogram, trådlöst nätverk med kryptering och datorer med uppdaterade program som höjer säkerheten inom företaget.
- Finns åtkomstskydd?
- Finns behörighetskontroll?
- Finns loggning?
- Hur kontrolleras ovanstående?
- För in informationen ovan i förteckningen
Checklista förteckning (Datainspektionen)
- Namn och kontaktuppgifter för den personuppgiftsansvarige (företaget)
- Ändamålen med behandlingen.
- En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
- De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
- I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
- Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
- Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
Exempel på förteckning (klicka på bilden för att förstora)
