Vad är GDPR?
GDPR utläses General Data Protection Regulation och är en ny gemensam europeisk
förordning som gäller över hela EU och EES från och med 2018-05-25. På svenska
avser GDPR Dataskyddsförordningen.
I Sverige kommer GDPR att ersätta
Personuppgiftslagen (PuL). Syftet med Dataskyddsförordningen är att enskilda
personer ska få större kontroll över sina personuppgifter samtidigt som företag
bara behöver förhålla sig till ett regelverk då de verkar i flera EU-länder.
Hur påverkas jag av GDPR som kund till Antura?
Dataskyddsförordningen gäller för alla organisationer
som behandlar personuppgifter. Således omfattas både den som bestämmer över
behandlingen (kallas Personuppgiftsansvarig
eller på engelska Controller) och den
som behandlar personuppgifter för någon annans räkning (kallas Personuppgiftsbiträde eller på engelska Processor).
Som direktkund till Antura är ditt företag
alltså Personuppgiftsansvarig medan Antura är Personuppgiftsbiträde. Om ditt
företag köper Antura Projects via någon återförsäljare eller
ramavtalsleverantör föreligger avtalsrelationen mellan dessa parter.
Vad behöver jag som kund till Antura göra?
Troligen har någon eller några i din
organisation arbetat med området GDPR sedan en tid tillbaka. Det handlar bl.a.
om att inventera vilka system som används för att behandla personuppgifter samt
upprätta interna rutiner för att kunna uppfylla de krav som GDPR ställer.
Som kund till Antura använder din
organisation Antura Projects och därmed behandlar ni personuppgifter i systemet.
Av denna anledning behöver ni se till att Antura Projects inkluderas i den
inventering av system som görs samt omfattas av de rutiner ni har för avsikt
att sätta upp.
Vad
gör Antura inom området GDPR?
Antura har jobbat med frågeställningarna
kring GDPR sedan slutet av 2016. I förhållande till Anturas kunder, så är
Antura s.k. personuppgiftsbiträde. Det innebär att ett
personuppgiftsbiträdesavtal behöver upprättas mellan Antura och våra kunder.
Antura som bolag lyder självklart även under
förordningen i rollen personuppgiftsansvarig, när det gäller hanteringen av
personuppgifter som rör vår personal, våra kunder och för våra leverantörer.
Därför har Antura under en tid arbetat med att komplettera vårt ledningssystem
för informationssäkerhet till att även inkludera de instruktioner och rutiner
som krävs för att Antura skal uppfylla de krav som GDPR ställer.
Är
det någon skillnad på om jag som kund nyttjar Antura Projects som tjänst
(SaaS) eller har den installerat internt (On Premise)?
I båda fallen är Antura personuppgiftsbiträde
eftersom utpekade personer hos Antura (t.ex. support, kundansvariga och
verksamhetskonsulter) har tillgång till er information via s.k.
förvaltningskonton. Personuppgiftsbiträdesavtal behöver upprättas i båda
fallen och detta skall initieras av kunden (eller mellanliggande leverantör/återförsäljare).
I de fall där Antura erbjuder Antura
Projects som tjänst är dock Anturas åtagande mer omfattande, eftersom vi
då även ansvarar för serverdrift, backuper, SLA:er, m.m.
Vad innebär det om vi har upphandlat Antura
Projects som tjänst eller med intern drift via en ramavtalsleverantör/återförsäljare
och Antura är underleverantör?
Om ni har upphandlat Antura Projects via en
ramavtalsleverantör/återförsäljare föreligger all avtalshantering mellan er som
kund och den aktuella avtalsparter till er. Antura kommer i sin tur att ha en
speglad avtalsrelation med alla relevanta och aktuella ramavtalsleverantörer/återförsäljare.
En ramavtalsleverantör/återförsäljare utgör
enligt ovan personuppgiftsbiträde och
Antura ett underbiträde. Eftersom även ett underbiträde räknas som ett
personuppgiftsbiträde enligt Dataskyddsdirektivet ska den
personuppgiftsansvariga ingå ett biträdesavtal med underbiträdet. Denna
skyldighet delegeras dock ofta till personuppgiftsbiträdet, dvs. i det här
fallet ramavtalsleverantören/återförsäljaren som därmed speglar sina
skyldigheter mot underbiträdet.
Kan Antura tillhandahålla Personuppgiftsbiträdesavtal?
Ja. I flera fall har vi redan ingått sådana
med kunder som tidigt har börjat jobba med GDPR. I de fall där
Personuppgiftsbiträdesaval inte upprättats ännu, kommer de kunder det berör att
erbjudas sådana senast Q1 2018.
Det är dock viktigt att känna till att det är
kunden som bär ansvaret för att ett Personuppgiftsbiträdesavtal upprättas, men
i det här fallet kan alltså Antura hjälpa till.
Vilket ansvar tar Antura gällande gallring av
personuppgifter?
Den som är Personuppgiftsansvarig är också
den som är ansvarig för att upprätta rutiner för hur personuppgifter skall
hanteras, dvs. när det gäller Antura Projects så är det våra kunder som
ansvarar för gallring av de personuppgifter som kunden själv har lagt in i
systemet. Antura kan dock hjälpa och stötta de kunder som behöver hjälp att
upprätta eller exekvera rutiner kring detta. Kontakta gärna din kundansvarige
för att få veta mer.
Betalar jag något extra för att Antura
och Antura Projects skall uppfylla GDPR?
Nej, det tillkommer inte några kostnader
utöver den normala licenskostnaden för Antura Projects med anledning av GDPR.
Det kan dock vara så att din organisation behöver hjälp från Antura med att
besvara olika typer av kravställningar eller med upprättande av rutiner eller
avtal. Denna typ av arbete sker som vilken konsulttjänst som helst där Antura
bistår sina kunder i att optimera och effektivisera förvaltningen kring Antura
Projects. Kontakta gärna din kundansvarige för att få veta mer om detta.
Det bör dock tilläggas att din organisation
sannolikt behöver investera en hel del runt interna regelverk och rutiner för
att organisationen som helhet skall uppfylla förordningens krav.
Har Antura någon Data Processing Officer
(DPO)?
Anturas nuvarande storlek innebär att vi inte
behöver utse en sådan. Däremot kommer Antura att utse en s.k.
Dataskyddsrepresentant.
Kommer Antura Projects att förändras med
anledning av GDPR?
Ja, Antura Projects kommer att kompletteras
med förbättrad funktionalitet så att våra kunder i rollen av
Personuppgiftsansvariga ska kunna bedriva sina egna rutiner så effektivt som
möjligt.
Kommer Antura att vara redo för GDPR den 25:e
maj 2018?
Ja!