Dataskyddsförordningen (EU) 2016/679

GDPR & Dataskydd

SvenskAIdrift är från grunden byggt för att möta och överträffa GDPR:s krav. Här är en genomgång av hur vi säkerställer full efterlevnad.

Datasuveränitet

All persondata lagras och behandlas i Sverige. Ingen överföring till tredjeland sker.

Dataminimering

Vi samlar bara in de uppgifter som är absolut nödvändiga för varje behandlingsändamål.

Registrerades rättigheter

Vi har processer för att hantera alla rättighetsförfrågningar inom lagstadgad tid.

Registerförteckning

Vi för en löpande förteckning över alla behandlingsaktiviteter enligt artikel 30.

Personuppgiftsbiträdesavtal

Vi tecknar PuB-avtal med alla kunder och underleverantörer som hanterar persondata.

Privacy by Design

Dataskyddsprinciper är inbyggda i arkitekturen – inte ett eftertänkt tillägg.

Vad är GDPR?

GDPR (General Data Protection Regulation, eller dataskyddsförordningen) är EU:s gemensamma regelverk för hur personuppgifter får samlas in, lagras och behandlas. Den trädde i kraft den 25 maj 2018 och gäller alla organisationer som behandlar personuppgifter om EU-medborgare – oavsett var organisationen är baserad. I Sverige är det Integritetsskyddsmyndigheten (IMY) som utövar tillsyn.

SvenskAIdrift som personuppgiftsbiträde

När ni använder SvenskAIdrift för att behandla personuppgifter om era anställda, kunder eller andra registrerade, är ni personuppgiftsansvarig och SvenskAIdrift är ert personuppgiftsbiträde.

Vi tecknar ett personuppgiftsbiträdesavtal (PuB-avtal) med alla kunder. Avtalet reglerar ändamål, lagringstid, säkerhetsåtgärder och era rättigheter att granska vår behandling. PuB-avtalet ingår automatiskt i kundavtalet utan extra kostnad.

Rättslig grund för behandling

Vi behandlar aldrig personuppgifter utan en laglig grund. De grunder vi tillämpar är:

—Avtalsuppfyllelse (art. 6.1 b): behandling av konto- och faktureringsuppgifter för att leverera tjänsten.
—Rättslig förpliktelse (art. 6.1 c): t.ex. bokföring och efterlevnad av säkerhetslagstiftning.
—Berättigat intresse (art. 6.1 f): loggning för säkerhet och felsökning samt kommunikation om tjänsten.
—Samtycke (art. 6.1 a): marknadsföring och nyhetsbrev – enkelt att återkalla när som helst.

Tekniska och organisatoriska säkerhetsåtgärder

Kryptering i vila (AES-256) och under transport (TLS 1.3)

Isolerade instanser per kund – ingen delad infrastruktur

Rollbaserad åtkomstkontroll (RBAC) med minsta privilegium

Kontinuerlig säkerhetsloggning och audit trail

Regelbundna sårbarhetstester och penetrationstester

Incidenthanteringsplan och beredskap för personuppgiftsincidenter

Utbildning av personal i dataskydd och informationssäkerhet

Säkerhetsgranskade underleverantörsavtal

Hantering av personuppgiftsincidenter

Vid en personuppgiftsincident som rör er data informerar vi er som personuppgiftsansvarig inom 24 timmar efter att incidenten upptäckts – långt före den 72-timmarsgräns som GDPR anger. Vi tillhandahåller all information ni behöver för att göra en eventuell anmälan till IMY. Vi dokumenterar alla incidenter oavsett anmälningsskyldighet.

Dina rättigheter som registrerad

GDPR ger dig följande rättigheter gentemot din personuppgiftsansvarige (din arbetsgivare eller den organisation som beställt tjänsten). Som biträde hjälper vi dig att utöva dessa rättigheter:

—Rätt till tillgång – ta del av vilka uppgifter som finns registrerade.
—Rätt till rättelse – korrigera felaktiga uppgifter.
—Rätt till radering – "rätten att bli glömd" under vissa förutsättningar.
—Rätt till begränsning – begränsa behandlingen i avvaktan på utredning.
—Rätt till dataportabilitet – exportera dina uppgifter i maskinläsbart format.
—Rätt att invända – mot behandling baserad på berättigat intresse.

Kontakta oss på kontakt@svenskaidrift.se eller ditt eget dataskyddsombud. Du har även rätt att klaga till IMY på imy.se.

Behöver er organisation GDPR-stöd?

Vi hjälper er att komma igång med ett PuB-avtal och en konsekvensbedömning (DPIA) anpassad för er verksamhet.

Kontakta oss

Vad är GDPR?

SvenskAIdrift som personuppgiftsbiträde

När ni använder SvenskAIdrift för att behandla personuppgifter om era anställda, kunder eller andra registrerade, är ni personuppgiftsansvarig och SvenskAIdrift är ert personuppgiftsbiträde.

Rättslig grund för behandling

Vi behandlar aldrig personuppgifter utan en laglig grund. De grunder vi tillämpar är:

—Avtalsuppfyllelse (art. 6.1 b): behandling av konto- och faktureringsuppgifter för att leverera tjänsten.

—Rättslig förpliktelse (art. 6.1 c): t.ex. bokföring och efterlevnad av säkerhetslagstiftning.

—Berättigat intresse (art. 6.1 f): loggning för säkerhet och felsökning samt kommunikation om tjänsten.

—Samtycke (art. 6.1 a): marknadsföring och nyhetsbrev – enkelt att återkalla när som helst.

Tekniska och organisatoriska säkerhetsåtgärder

Kryptering i vila (AES-256) och under transport (TLS 1.3)

Isolerade instanser per kund – ingen delad infrastruktur

Rollbaserad åtkomstkontroll (RBAC) med minsta privilegium

Kontinuerlig säkerhetsloggning och audit trail

Regelbundna sårbarhetstester och penetrationstester

Incidenthanteringsplan och beredskap för personuppgiftsincidenter

Utbildning av personal i dataskydd och informationssäkerhet

Säkerhetsgranskade underleverantörsavtal

Hantering av personuppgiftsincidenter

Dina rättigheter som registrerad

GDPR ger dig följande rättigheter gentemot din personuppgiftsansvarige (din arbetsgivare eller den organisation som beställt tjänsten). Som biträde hjälper vi dig att utöva dessa rättigheter:

—Rätt till tillgång – ta del av vilka uppgifter som finns registrerade.

—Rätt till rättelse – korrigera felaktiga uppgifter.

—Rätt till radering – "rätten att bli glömd" under vissa förutsättningar.

—Rätt till begränsning – begränsa behandlingen i avvaktan på utredning.

—Rätt till dataportabilitet – exportera dina uppgifter i maskinläsbart format.

—Rätt att invända – mot behandling baserad på berättigat intresse.

Kontakta oss på kontakt@svenskaidrift.se eller ditt eget dataskyddsombud. Du har även rätt att klaga till IMY på imy.se.