GDPR
Enligt den nya Dataskyddsförordningen som trädde i kraft den 25/5 2018 måste vi som Personuppgiftsbiträde (PUB) ha ett skriftligt Personuppgiftsbiträdesavtal med alla våra uppdragsgivare, som i sin tur är Personuppgiftsansvariga (PUA) och för vilka vi behandlar personuppgifter i och med korttillverkning.
Notera att detta avtal inte innebär någon förpliktelse att anlita oss för korttillverkning, men det är en förutsättning för att man skall kunna göra det.
Kort som inte har några personuppgifter, t.ex. anonyma numrerade passagekort, opersonifierade medlemskort eller UE-brickor omfattas förstås inte av Dataförordningen.
Med personuppgift menas alla typer av uppgifter som kan hänföras till någon enskild person, t.ex. personnummer, namn, fotografi, mailadress, telefonnummer…
Med behandling menas inte bara själva korttillverkningen, utan även mottagandet av personuppgifter via mail eller på annat sätt, lagring och radering av personuppgifterna.
Detta avtal delar vi upp i två:
Ett Tjänsteavtal, i vilket ni som uppdragsgivare specificerar dels vilken typ av personuppgifter som vi skall hantera, dels hur vi skall hantera personuppgifterna efter att vi har gjort korten – skall vi behålla uppgifterna tills vidare, t.ex. för framtida omproduktion när personen i fråga behöver förnya det, eller skall vi radera samtliga personuppgifter omedelbart efter att vi har gjort korten?
OBSERVERA att Tjänsteavtalet måste justeras i punkterna 3.1 och 3.3 för att avtalet skall vara giltigt som GDPR-avtal. Där skall du alltså precisera era instruktioner till oss om hur vi skall hantera personuppgifterna.
Det andra avtalet heter Personuppgiftsbiträdesavtal (som vi förkortar till PUB-avtal) i vilket vi som PUB förbinder oss att hantera personuppgifterna enligt Dataförordningens regler och PUA’s instruktioner i Tjänsteavtalet.
Klicka här för att hämta hem avtalen i PDF-format eller använd länken Avtalsmallar överst på denna sida.
Vår hantering av personuppgifter
Vi tar emot på det medium (mailade Excel-ark, mail, per post) som PUA väljer och lägger in uppgifterna i dedicerad databas.
Vi producerar beställda kort och sänder dem till den person hos kundföretaget som har beställt korten, eller till en förutbestämd mottagare hos kunden. Vi accepterar givetvis ingen beställning från någon annan än vedertagna kontaktpersoner, vare sig utanför eller inom ett kundföretag utan att först ha fått godkännande från den eller de ordinarie beställarna hos kunden.
Efter att korten har blivit producerade förfar vi i enlighet med Tjänsteavtalet: vi raderar/anonymiserar personuppgifterna eller lagrar dem.
Normalt utförs denna hantering av en enda person, GDPR-ansvarig, hos Företagskort AB. Om annan person skulle behöva träda in som vikarie hämtar vi först in godkännande från aktuella kunder.
Vi lagrar uppgifterna bakom virus- och hackerskyddad brandvägg, och gör regelbundna backuper för att kunna återskapa datat vid eventuell systemkrasch.
Om en kund begär radering av en eller flera personposter, så raderas dessa permanent och kan inte återskapas på annat sätt än genom ny.
Har du frågor om detta? Ring Johan: 070-556 38 00