Play-Icon

GDPR
FAQ

Under våren 2018 kommer EU:s Dataskyddsförordning GDPR att ersätta den svenska Personuppgiftslagen. Därmed införs ett för samtliga medlemsländer gemensamt regelverk. Ambitionen med nedanstående material är att ge Anturas kunder enkla svar på vanliga frågor om den nya Dataskyddsförordningen.

Vad är GDPR?

GDPR utläses General Data Protection Regulation och är en ny gemensam europeisk förordning som gäller över hela EU och EES från och med 2018-05-25. På svenska avser GDPR Dataskyddsförordningen.

I Sverige kommer GDPR att ersätta Personuppgiftslagen (PuL). Syftet med Dataskyddsförordningen är att enskilda personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett regelverk då de verkar i flera EU-länder.

Hur påverkas jag av GDPR som kund till Antura?

Dataskyddsförordningen gäller för alla organisationer som behandlar personuppgifter. Således omfattas både den som bestämmer över behandlingen (kallas Personuppgiftsansvarig eller på engelska Controller) och den som behandlar personuppgifter för någon annans räkning (kallas Personuppgiftsbiträde eller på engelska Processor).

Som direktkund till Antura är ditt företag alltså Personuppgiftsansvarig medan Antura är Personuppgiftsbiträde. Om ditt företag köper Antura Projects via någon återförsäljare eller ramavtalsleverantör föreligger avtalsrelationen mellan dessa parter.

Vad behöver jag som kund till Antura göra?

Troligen har någon eller några i din organisation arbetat med området GDPR sedan en tid tillbaka. Det handlar bl.a. om att inventera vilka system som används för att behandla personuppgifter samt upprätta interna rutiner för att kunna uppfylla de krav som GDPR ställer.

Som kund till Antura använder din organisation Antura Projects och därmed behandlar ni personuppgifter i systemet. Av denna anledning behöver ni se till att Antura Projects inkluderas i den inventering av system som görs samt omfattas av de rutiner ni har för avsikt att sätta upp.

Vad gör Antura inom området GDPR?

Antura har jobbat med frågeställningarna kring GDPR sedan slutet av 2016. I förhållande till Anturas kunder, så är Antura s.k. personuppgiftsbiträde. Det innebär att ett personuppgiftsbiträdesavtal behöver upprättas mellan Antura och våra kunder.

Antura som bolag lyder självklart även under förordningen i rollen personuppgiftsansvarig, när det gäller hanteringen av personuppgifter som rör vår personal, våra kunder och för våra leverantörer. Därför har Antura under en tid arbetat med att komplettera vårt ledningssystem för informationssäkerhet till att även inkludera de instruktioner och rutiner som krävs för att Antura skal uppfylla de krav som GDPR ställer.

Är det någon skillnad på om jag som kund nyttjar Antura Projects som tjänst (SaaS) eller har den installerat internt (On Premise)?

I båda fallen är Antura personuppgiftsbiträde eftersom utpekade personer hos Antura (t.ex. support, kundansvariga och verksamhetskonsulter) har tillgång till er information via s.k. förvaltningskonton. Personuppgiftsbiträdesavtal behöver upprättas i båda fallen och detta skall initieras av kunden (eller mellanliggande leverantör/återförsäljare). 

I de fall där Antura erbjuder Antura Projects som tjänst är dock Anturas åtagande mer omfattande, eftersom vi då även ansvarar för serverdrift, backuper, SLA:er, m.m. 

Vad innebär det om vi har upphandlat Antura Projects som tjänst eller med intern drift via en ramavtalsleverantör/återförsäljare och Antura är underleverantör?

Om ni har upphandlat Antura Projects via en ramavtalsleverantör/återförsäljare föreligger all avtalshantering mellan er som kund och den aktuella avtalsparter till er. Antura kommer i sin tur att ha en speglad avtalsrelation med alla relevanta och aktuella ramavtalsleverantörer/återförsäljare.

En ramavtalsleverantör/återförsäljare utgör enligt ovan personuppgiftsbiträde och Antura ett underbiträde. Eftersom även ett underbiträde räknas som ett personuppgiftsbiträde enligt Dataskyddsdirektivet ska den personuppgiftsansvariga ingå ett biträdesavtal med underbiträdet. Denna skyldighet delegeras dock ofta till personuppgiftsbiträdet, dvs. i det här fallet ramavtalsleverantören/återförsäljaren som därmed speglar sina skyldigheter mot underbiträdet.

Kan Antura tillhandahålla Personuppgiftsbiträdesavtal?

Ja. I flera fall har vi redan ingått sådana med kunder som tidigt har börjat jobba med GDPR. I de fall där Personuppgiftsbiträdesaval inte upprättats ännu, kommer de kunder det berör att erbjudas sådana senast Q1 2018.

Det är dock viktigt att känna till att det är kunden som bär ansvaret för att ett Personuppgiftsbiträdesavtal upprättas, men i det här fallet kan alltså Antura hjälpa till. 

Vilket syfte ska anges i inventeringen där Antura Projects anges?

I den inventering av system och tjänster som alla organisationer behöver göra ska syftet med lagring av personuppgifter anges. För Antura Projects kan syftet vara t.ex. ”För att kunna bedriva effektivare, lönsammare och mer kostnadseffektiva projekt”.

Vilket ansvar tar Antura gällande gallring av personuppgifter?

Den som är Personuppgiftsansvarig är också den som är ansvarig för att upprätta rutiner för hur personuppgifter skall hanteras, dvs. när det gäller Antura Projects så är det våra kunder som ansvarar för gallring av de personuppgifter som kunden själv har lagt in i systemet. Antura kan dock hjälpa och stötta de kunder som behöver hjälp att upprätta eller exekvera rutiner kring detta. Kontakta gärna din kundansvarige för att få veta mer.

Betalar jag något extra för att Antura och Antura Projects skall uppfylla GDPR?

Nej, det tillkommer inte några kostnader utöver den normala licenskostnaden för Antura Projects med anledning av GDPR. Det kan dock vara så att din organisation behöver hjälp från Antura med att besvara olika typer av kravställningar eller med upprättande av rutiner eller avtal. Denna typ av arbete sker som vilken konsulttjänst som helst där Antura bistår sina kunder i att optimera och effektivisera förvaltningen kring Antura Projects. Kontakta gärna din kundansvarige för att få veta mer om detta.

Det bör dock tilläggas att din organisation sannolikt behöver investera en hel del runt interna regelverk och rutiner för att organisationen som helhet skall uppfylla förordningens krav.

Har Antura någon Data Processing Officer (DPO)?

Anturas nuvarande storlek innebär att vi inte behöver utse en sådan. Däremot kommer Antura att utse en s.k. Dataskyddsrepresentant.

Kommer Antura Projects att förändras med anledning av GDPR?

Ja, Antura Projects kommer att kompletteras med förbättrad funktionalitet så att våra kunder i rollen av Personuppgiftsansvariga skall kunna bedriva sina egna rutiner så effektivt som möjligt. 

Följande funktionalitet kommer from april 2018 att finnas i Antura Projects:

  • Möjlighet att anonymisera användare. Användare som är borttagna då de t.ex. inte längre arbetar kvar kommer att kunna anonymiseras, dvs. det kommer inte längre att vara möjligt att koppla personuppgifter till en person som har slutat.

  • Möjliget att permanent radera periodiserade personuppgifter (t.ex. rapporterad tid, planerad tid, frånvaro, tilldelad tid, timpris) för en person innan ett visst datum som organisationen själv beslutar om.

  • Automatisk rensning av personuppgifter ur diverse loggar i Antura Projects (i normalfallet endast åtkomliga för systemadministratörer). 

Kommer Antura att vara redo för GDPR den 25:e maj 2018?

Ja!