Hur hanteras mina personuppgifter?

GDPR (General Data Protection Regulation) är den lag som från 25 Maj 2018 ersätter Personuppgiftslagen (PUL) som reglerar behandling av personuppgifter. Den här animerade sidan från EU-kommissionen sammanfattar GDPR.

Här följer svar på vanliga frågor runt GDPR hos Coldvision Studio (GDPR F.A.Q).

Är Coldvision Personuppgiftsbiträde eller Personuppgiftsansvarig?

Coldvision är Personuppgiftsansvariga (Data Controller) för de personuppgifter vi samlar in om er som kund. Men för de personuppgifter ni själva lagrar i våra tjänster/CMS är ni personuppgiftsansvariga och Coldvision är Personuppgiftsbiträde (Data Processor) och där behöver ni se till att ni uppfyller lagkraven på er för behandlingar av personuppgifterna.

Personuppgiftshantering

  • ändamålet med behandling av personuppgifter hos Coldvision skall möjliggöra leverans av Coldvisions tjänster. De uppgifter som Coldvisions kunder lagrar hos Coldvision i form av filer och databaser lagras endast av Coldvision och behandlas inte aktivt av Coldvision.
  • Coldvision kommer att behandla uppgifter om sina kunders och samarbetspartners namn, personnummer/organisationsnummer, postadress, telefonnummer, e-postadresser samt motsvarande uppgifter som behövs för kontakten med de Registrerade. Även IP-nummer för att förhindra missbruk av tjänsten hanteras.
  • personuppgifter som lagras om Coldvisions kunder sparas så länge en kund använder Coldvisions tjänster.

Hur hanteras loggar, trasiga hårddiskar och backuper?

Server-loggar för åtkomst, fel och brandvägg raderas automatiskt som längst efter tre månader. Vi har har sekretessavtal som täcker hårddiskar som behöver reklameras till leverantörer och vi skriver även över datan på disken innan den skickas iväg. Backuper behålls i en månad för att kunna fullfölja vårt avtal med kund och raderas sedan automatiskt.

Kan jag lagra denna typ av personuppgifter i era tjänster?

Vi har gjort vårt bästa för att uppfylla de krav som GDPR ställer på oss. Det går att läsa om detta i vårt avtal som du hittar längst ner i denna artikel som bilaga. Vad ni själva väljer att lagra i våra tjänster och hur ni lagrar det har vi svårt att kontrollera utan vi tillhandahåller bara plattformen som är GDPR-anpassad. Det är dock fortfarande fullt möjligt att lagra personuppgifter på ett felaktigt sätt i vår plattform trots detta. Om ni är osäkra på vilka krav som ställs på er och hur ni skall uppfylla dem i våra tjänster rekommenderar vi att ni kontaktar Datainspektionen eller jurister som specialiserar sig inom er bransch för att t.ex. granska våra avtal och ge er kompletterande bilaga med instruktioner om detta skulle vara nödvändigt.

Hur skall jag hantera lagring av mail?

Era mail innehåller ofta personuppgifter och bör därför också behandlas på samma sätt som andra personuppgifter ni lagrar i våra tjänster. Datainspektionen har en bra guide här om hur ni skall resonera runt detta.

Vad behöver jag göra mer för att följa GDPR?

Toppen att ni använder Coldvision Studio som uppfyller GDPR igenom vår policy och vårt personuppgiftsbiträdesavtal och instruktioner om hantering av personuppgifter men det är bara en del av svaret. Ni behöver även tänka på en mängd andra saker t.ex.

  • Att ni går igenom Datainspektionens rekommenderade förberedelser och läser igenom era skyldigheter.
  • Inventera vilka personuppgifter ni faktiskt behandlar.
  • Vad har ni för rättslig grund för behandlingarna. (Ni bör undvika samtycke som grund då samtycke krånglar till processen och kan dras tillbaka när som helst och att ni egentligen bör kunna leverera en tjänst utan de uppgifter ni inte får med samtycket vilket kan göra produkten tekniskt komplicerad.)
  • Uppdaterar era avtal och policies.
  • Uppdaterar era rutiner och system. (Särskilt med tanke på automatisk utrensning av information. Och även utlämning, radering och rättning av information på begäran.)

Dock är det en stor fråga och vi får hänvisar till Integritetsskyddsmyndigheten (före detta Datainspektionen) för mer information om hur ni följer lagen.