GDPR för Sotare
Checklista för GDPR:
• Vet ni vilka era register där det finns personuppgifter i?
• Vilka inom företaget har åtkomst till personuppgifterna? Har ni begränsat åtkomsten till dessa så att inte fler än nödvändigt har tillgång till personuppgifterna?
• Finns rutiner och system för hur ni minimerar risken att personuppgifter av misstag hamnar i fel händer (inbrott, stöld, dataintrång)?
• Har ni upprättat avtal med de som sköter era system och register?
• Har dina leverantörer av datasystem motsvarande rutiner och system för att hantera personuppgifter?
• Har ni träffat någon skriftlig överenskommelse med era kunder och/eller kommun om vilka personuppgifter som ni anser behövs för att kunna uppfylla lagkrav (redovisningskrav, garantiåtaganden, uppdrag enligt LSO etc)
• Har ni på antagit en integritetspolicy för er verksamhet? Om ja – finns den på er hemsida?
• Har ni antagit någon rutin för vem som äger rätt att för er räkning lämna ut personuppgifter? Har den/de nödvändig utbildning för att kunna ta det ansvaret?
• Har ni en rutin för hantering, i händelse av att personuppgifter av misstag (incident) kommit på villovägar?
• Har kommunen överlämnat ett personuppgiftsbiträdesavtal med avseende på kontrollboken?
• På aviseringar/budlappar, fakturor och protokoll bör det finns en notering om att ni hanterar personuppgifter enligt lagen om skydd mot olyckor
Ni bör se över era register och rensa ”tomma” kunder eller fastigheter som inte längre ingår i era åtaganden.
Vilka uppdateringar kommer att göras i förbundets datasystem Ritz?
Ni kommer att kunna skriva ut informationen på kundkortet för att skicka till kund vid förfrågningar. Ägarhistoriken på en fastighet kommer tas bort. Inga namn kommer då att visas, endast att en annan ägare, ”Borttagen”, har innehaft fastigheten mellan år XXXX-XXXX. I omboknings- och tjänstebokningsportalen kommer kunden att behöva godkänna att ni sparar personuppgifter. Detta gäller främst för tjänstebokning, då ombokningskunderna redan finns i systemet i egenskap av myndighetsregister. Om kunden önskar SMS-påminnelse kommer denne i båda fallen behöva godkänna samtycke till att nummer sparas via en kryssruta. Enligt GDPR ska också de aktuella villkoren samt datum för samtycke kunna sparas för att kunna visas upp vid efterfrågan.
Behöver vi ett samtycke om vi vill skicka SMS-påminnelse?
Ja. Om ni vill hämta in mobilnummer för exempelvis SMS-påminnelse så behöver ni ett samtycke, helst skriftligt då det är svårt att bevisa ett muntligt samtycke.
Hur kan en samtyckestext om SMS-påminnelse se ut?
Till exempel: ”Jag ger härmed mitt samtycke till att BOLAGET AB (adress, telefonnummer) behandlar mitt namn, adress och telefonnummer för att kunna skicka mig en SMS-påminnelse om kommande arbete i min fastighet. Uppgifterna lagras så länge du önskar använda SMS-tjänsten och du kan närsomhelst dra tillbaka ditt samtycke. Du har rätt att begära rättelse, radering och begränsning av dina uppgifter, kontakta oss i sådant fall enligt ovan. Klagomål på personuppgiftsbehandlingen inges till Datainspektionen eller motsvarande myndighet.”
Hur kan en text för en ombokningsportal se ut?
När det gäller ombokningsportalen i Ritz så kommer en uppdatering under våren. Denna kommer att innehålla en generell text och samtyckesmedgivande. För er som har egen bokningsportal så kan ni exempelvis skriva så här: ”För att kunna boka om din aviserade tid behöver vi be dig lämna samtycke till att vi lagrar din e-postadress och/eller mobilnummer. Observera dock att en e-postadress ska vara personlig och inte till en e-postadress vid ett företag. Dessa uppgifter kommer användas för nödvändig kommunikation med dig i samband med arbetets utförande. Det kan även komma att användas för sms-avisering och för information till dig eller för att undersöka hur nöjd du är som kund. Önskar du inte den typen av information, kontakta oss via (TELEFON) eller (E-POST). Vi kommer aldrig sälja dina uppgifter vidare till tredje part och du har rätt att få ut vilken information vi har om dig, rätta eventuella fel samt be oss radera den.”
Hur kan en text för en tjänstebokningsportal att se ut?
I tjänstebokningsportalen i Ritz så kommer en uppdatering under våren. Denna innehåller bland annat en förklarande text och samtyckesmedgivande. Före er som har en egen tjänstebokningsportal så kan en text se ut så här: ”För att kunna beställa denna tjänst måste du godkänna att vi lagrar dina angivna personuppgifter. Dessa uppgifter sparas för att vi ska kunna kommunicera med dig, utföra tjänsten vi avtalat om och ta betalt för den.
Syfte med behandlingen | Rättslig grund för behandlingen |
Avtal, genomförande och fakturering av tjänster | Avtal |
Ta betalt för tjänster | Rättslig förpliktelse |
Informera om vår verksamhet | Samtycke |
Dina personuppgifter kommer vi främst att använda i samband med tjänstens utförande, men kan även vara att berätta om våra tjänster och erbjudanden eller för att undersöka hur nöjd du är som kund. Önskar du inte den typen av information, kontakta oss via e-postadressen du hittar till vänster vid företagsuppgifter. Vi kommer aldrig sälja dina uppgifter vidare till tredje part och Du har rätt att få ut vilken information vi har om dig, rätta eventuella fel samt be oss radera den.”
Vi har kunder som bor i Tyskland och Frankrike. De vill ha aviseringar och fakturor vi e-post. Måste vi skicka ett godkännande dokument till de på engelska för att få lagra deras e-postadresser?
Det ska inte behövas för kunder inom EU. I det fall dessa kunder är en del av den lagstadgade sotningen eller brandskyddskontrollen så är det ett myndighetsutövande som är den lagliga rätten för hanteringen av personuppgifter.
Kan supporten ta bort personnummer i Ritz?
Ja. Kontakta oss via ritz.support@skorstensfejare.se.
Behöver vi ett ytterligare register, utöver vårt datasystem?
Ja. Ni bör ha en förteckning över de register som ni i er verksamhet hanterar och som innehåller personuppgifter. Gäller både de digitala och på papper. Se sedan vilka som har tillgång till de olika registren, vilket lagligt stöd ni har för att lagra dessa, hur ofta ni gallrar dessa och efter vilken tid ni raderar dessa. SSR har tagit fram en registermall som ni kan använda.
Kan vi få hjälp att hitta ”tomma kunder” i Ritz?
Ja. Supporten kan hjälpa till med att ta fram och skicka ut listor vid behov. Olika noteringar kan också vara bra att se över. Även här kan vi hjälpa till.
Vilka krav finns på papperskopior?
Utgå från att papperskopior ska hanteras på samma sätt som digitala filer. Ni måste ha laglig grund för att spara personuppgifter och att detta sker på ett säkert sätt.
Behöver vi ändra något i Fortnox?
Nej. När ni loggar in på ert konto i Fortnox, så kommer ni att behöva godkänna deras nya tjänsteavtal, som också inkluderar ett biträdesavtal.
Behöver skriva biträdesavtal med våra leverantörer?
Ja. Detta avtal reglerar hur dina leverantörer skall hantera era systems personuppgifter. Samtliga leverantörer skall då underteckna ett biträdesavtal med er. Exempel är företag som ombesörjer era löneutbetalningar, avtal om print av aviseringar och fakturor, kund- och reskontra, SSA och Trimma (INSIKT). Vissa leverantörer, exempelvis Fortnox, har inkluderat detta i deras nya användaravtal.
Behöver det stå något på budlapparna om GDPR?
Det är bra att ni informerar fastighetsägarna om att ni sparar och behandlar personuppgifter. Som ett exempel: ”Vi hanterar personuppgifter enligt EU:s nya dataskyddsförordning GDPR. Detta för att exempelvis kunna avisera om tider för sotning och informera om våra tjänster. Vi har upprättat en integritetspolicy som ni kan läsa på www.domän.se/gdpr. Om ni har frågor om vår policy eller hur vi behandlar dina personuppgifter, så är du välkommen att kontakta oss på info@domän.se”.
Hur gör vi med övriga arbeten som inte ingår i LSO?
För arbeten utanför lagstadgad sotning och brandskyddskontroll är ni personuppgiftsansvariga. Detta innebär att ni behöver ett skriftligt medgivande för att hantera personuppgifter. Så se till att ni antingen har samlat in samtycke eller skriftligt avtal på samtliga arbeten som inte inbegrips i LSO. I de avtal som då sluts så reglerar ni och tydliggör hur ni kommer att hantera kundens personuppgifter och hur länge ni avser att spara dom. Dessa delar berör inte alls kommunen och kommunen har inget inflytande över dessa uppgifter.
Hur gör vi då med befintliga personuppgifter för uppdrag som vi har sparat i register?
I princip gäller att personuppgifterna skall raderas efter att tiden för exempelvis garantiåtagande har gått ut. Andra tider som kan utgöra mått för hur länge personuppgifter sparas är redovisningslag, tider i överenskommet serviceavtal, reklamationstider samt om kundens önskat om att bli kontaktad inom en viss tid för uppföljning eller återbesök.
Om kommunen äger kontrollboken, vem ska då skriva avtal med programdistributören? Vi som jobbar i det eller kommunen som äger det?
Utgå alltid från ert avtal. Om det är klart att kommunen äger kontrollboken så menar vi: Kommunen äger inte programmet. Kommunen äger kontrollboken. Det betyder att kommunen då bör vara personuppgiftsansvarig. Ni blir personuppgiftsbiträde till kommunen. Och ni tecknar personuppgiftsbiträdesavtal med de företag som har/kan ha tillgång till personuppgifterna som ni hanterar.
Om en mäklare/hantverkare ringer och vill ha uppgifter om fastigheten såsom protokoll och senaste sotningen, får vi då ge ut detta?
Vi rekommenderar att ni reglerar det som rör kontrollboken med kommunen. Det vill säga vem som får lämna ut uppgifter och hur det ska gå till. En del av uppgifterna är att anse som offentliga, men om det handlar om exempelvis besiktningsprotokoll så är det inte en handling som ska lämnas ut annat än till beställaren. Kan mäklaren visa en kopia på förmedlingsuppdraget, så kan ni anse att denne representerar ägaren om det är densamme som beställaren av besiktningen.
Får vi lagra telefonnummer?
Ja, om ni har laglig grund för lagringen. Det kan exempelvis vara att ni har begärt in samtycke från kunden eller kommit överens (skriftligt) med er kommun om att telefonnummer ingår i kontrollboken. Tänk på att även om ni kommer överens med kommunen om att få lagra telefonnummer för sotningen och brandskyddskontrollen, så betyder det inte automatiskt att ni får använda numret för att till exempel ringa och sälja in andra tjänster. Det kan ha en annan laglig grund.
Räcker det att ta bort kundnamnet på en fastighet där vi inte utför något arbete längre eller måste vi radera hela fastigheten?
Såväl gatuadress som fastighetsbeteckning är personuppgift enligt datainspektionen och skall gallras om det inte finns något lagligt skäl att ha de kvar.
Ska vi skriva under biträdesavtalet som vår kommun skickar till oss?
SSR och SKL har rent principiellt kommit överens om att kommunerna är personuppgiftsansvariga, och sotningsföretagen då är biträden. I det avseendet så verkar det ju rimligt att ni skriver under ett personuppgiftsbiträdesavtal. Men det är såklart inte bindande, utan ni borde ha möjlighet att komma överens med kommunen om hur ni vill göra.
Vad ska vi tänka på när vi skriver under biträdesavtalet med kommunen?
Det vi kan rekommendera är att om ni skriver på ett biträdesavtal eller uppdaterar befintligt avtal, så kan ni med fördel försöka inkludera även personnummer, telefonnummer och e-postadress i definitionen av vad som ska ingå i kontrollboken. Detta för att enklare kunna fakturera och hantera exempelvis inkassoärenden, få ut snabb och relevant information till kunden (via e-post) eller kunna skicka sms-påminnelser om stundande sotning. Lagring av personnummer borde även vara relevant för framtida digital posthantering (avisering/fakturering) då de digitala brevlådorna kräver personnummer.
Vi har många kunder som anlitar oss för att göra en besiktning av rökkanal eller eldstad. När detta är gjort så har vi alltid skickat en kopia till ”Sotningsdistriktet”. Vi skulle ju gärna vilja fortsätta med denna service. Är det vi som är personuppgiftsansvarig eller är det ”Sotningsdistriktet”?
Både ert företag och ”Sotningsdistriktet” borde vara personuppgiftsansvariga. Ni behandlar ju kundens uppgifter för att exempelvis kunna spara besiktningsprotokollet och erbjuda andra tjänster, nyhetsbrev eller liknande. Och då behöver ni ha en rättslig grund för behandlingen (till exempel avtal, samtycke, osv). ”Sotningsdistriktet” å andra sidan behöver ju behandla uppgifterna för att kunna utföra sotning/brandskyddskontroll, alltså myndighetsansvaret. Så de är också personuppgiftsansvariga.
Ska vi gallra ”vilande” sotningsobjekt?
SSR anser att vilande sotningsobjekt (vilande, ej i bruk, nyttjandeförbud, osv) är en del av kontrollboken och därmed inte behöver gallras. Dessa objekt uppfattar vi som en del av myndighetsutövandet. I en eventuell tvist så ligger bevisbördan hos kommunen/entreprenören att visa varför sotning eller brandskyddskontroll inte har utförts.
När en person ska köpa ett hus och vill ha uppgifter om eldstaden – får vi som entreprenör lämna ut dessa?
Om kontrollboken är definierad som ett myndighetsregister av kommunen, så är uppgifterna som finns i kontrollboken en offentlig handling. I avtalet med kommunen så bör man komma överens om vilka rutiner som gäller för utlämnande av uppgifter. Dessa rutiner ska göra tydligt vem som får lämna ut uppgifter, om det skall granskas av någon innan utlämnande, inom vilket tidsintervall det ska ske eller vilka frågor man inte får ställa till den som söker uppgifterna. Vi rekommenderar att ni kontaktar förvaltningschefen eller räddningschefen i denna fråga. Som en grundläggande regel så bör ni inte lämna ut mer uppgifter än nödvändigt. Om en person frågar om eldstadens status, så ska ni exempelvis inte lämna ut namnet på ägaren eller dennes telefonnummer. Enklare förfrågningar som datum för senaste sotning eller brandskyddskontroll borde ni som entreprenör kunna hantera, men vid förfrågningar av känsligare karaktär (exempelvis försvarsanläggningar) så bör kommunen hantera dessa. Uppgifter som till exempel eldstadens fabrikat eller registernummer är inte offentliga uppgifter, så dessa behöver ni inte lämna ut.
Senast reviderad: 30:e maj 2018.
Mallar för GDPR
Nedan hittar ni mallar som ni kan använda i er verksamhet:
Kontrollbok och GDPR
- Fastighetsbeteckning
- Adress
- Namn på nyttjanderättsinnehavare och ägare
- Uppgifter om eldstäder och imkanaler som ska sotas och brandskyddskontrolleras enligt LSO
- Datum för tidigare förrättningar
- Dokumentation om förelägganden och förbud kopplat till fastighet och objekt
I arbetet med att uppfylla de tillkommande kraven som följer av GDPR så har man funnit att det kan vara gynnsamt att inkludera även e-postadresser, telefonnummer till såväl aviseringsmottagare, fastighetsägare som fakturamottagare. För att det skall ses som att dessa uppgifter följer av lagkravet så är det bra att man träffar en överenskommelse att utöka definitionen av vad som ingår i kontrollboken.
Exempel på en sådan utökad definition skulle kunna vara följande:
- Fastighetsbeteckning enligt Lantmäteriets norm
- Fastighetens adress
- Uppgifter på ägare och/eller nyttjanderättsinnehavare. Namn, adress, telefon, mail
- Aviseringsadress
- Faktureringsadress
- Dokumentation om vilka fastigheter och anläggningar som kommunen givit tillåtelse till egensotning eller tillåtelse till att annan part får utföra sotningen
- Uppgifter om eldstäder och imkanaler som ska brandskyddskontrolleras och rengöras (sotas) enligt LSO inkluderande nuvarande fristsättning, samt datum för tidigare förrättningar.
- Samtlig dokumentation kopplat till fastighet och objekt. Inkluderande protokoll, anmärkningar, förelägganden och förbud.
Med denna utökade tolkning av vad som ingår i myndighetsregistret så begränsas behov av exempelvis samtycke eller avtal.
Observera att uppgifter i era system som innehåller personuppgifter utöver de ovan angivna kan kräva samtycket från respektive person. Exempel på detta är kontaktuppgifter till person som har husnyckel.
Matnyttigt om GDPR
Steg-för-Steg GDPR
Ordlista GDPR
B
Behandling (av data) – till exempel insamling, lagring, bearbetning, användning eller organisering av data.
C
Cookies – en textfil som lagras på din dator, mobil eller platta när du besöker en hemsida. Filen innehåller information om vad du gör när du är på sidan.
D
Data – uppgifter eller information om något. Kan även kallas personuppgifter.
Dataportabilitet – när du flyttar viss data från oss för att använda dem på annat håll.
Dataskyddsreglering – regler om hur företag och organisationer får hantera data och vilka rättigheter du har över din data. Från och med 25 maj 2018 gäller den nya regleringen, kallad GDPR
G
GDPR – General Data Protection Regulation – ny EU-reglering för dataskyddsäkerhet. Träder i kraft 25 maj 2018 och ersätter PUL (Personuppgiftslagen).
I
Intresseavvägning – den som ska behandla data har ett intresse av att utföra behandlingen. Det intresset vägs sedan mot ditt intresse av integritetsskydd.
IP-adress står för Internet Protocol, det är en adress som identifierar en anslutning mot internet. Det kan ses som en motsvarighet till ett telefonnummer i telenätet.
K
Kunddata – till exempel namn, adress, e-postadress, telefonnummer och personnummer. Även information om till exempel vilka tjänster du har och hur du använder dem, beställningar, användar-id och lösenord.
P
Personuppgifter – samlingsord för kunddata och trafikdata. Benämns i vår integritetspolicy som data.
Personuppgiftsansvarig – den juridiska person som bestämmer syftet med behandlingen och på vilket sätt den ska gå till.
Personuppgiftsombud – säkerställer att behandlingen av data sker på ett korrekt och lagligt sätt för den personuppgiftsansvariges räkning.
PUL – Personuppgiftslagen, ersätts av GDPR 25 maj 2018.
R
Rättslig grund – stöd i dataskyddsregleringen som gör ett företags behandling av din data laglig.
S
Samtycke – ett frivilligt godkännande (efter att ha fått information) att låta oss behandla din data.
T
Trafikdata – uppgifter som genereras när du använder våra tjänster, t.ex. ringer ett samtal – vilket nummer som rings upp, när, hur länge samtalet varar och vilka nät som används.
Tredje land – en stat som inte ingår i EU eller är ansluten till europeiska samarbetsområdet EES.
GDPR på 3 min!
Företagarna: GDPR
Ja! Enligt förordningen måste du informera dina kunder, medlemmar eller webbplatsbesökare om hur du hanterar personuppgifter. Alla som lämnar sina personuppgifter till dig måste ha möjlighet att läsa hur ni behandlar uppgifter och vilka rättigheter de har. Det enklaste är därför att samla allt i ett dokument, en integritetspolicy, och ha på en egen sida på webbplatsen, precis som vi gör med cookietexter idag. Dessutom måste du, enligt lagen, ge informationen på ett klart och tydligt sätt. Det innebär att du behöver lägga resurser på att skriva policyn på klarspråk.
Vad ska vara med?
Integritetspolicyn ska hjälpa era kunder att förstå hur ni arbetar med personuppgifter. Den ska förklara vilka personuppgifter ni samlar in, hur ni använder dem och vad ni har för rätt att samla in dem. Det ska också innehålla uppgifter om vilka rättigheter era kunder har att begära ut sina uppgifter eller få dem raderade, och hur de kan komma i kontakt med er för detta.
Hur skriver jag en integritetsspolicy?
Syftet med en integritetspolicy är att dina kunder ska förstå vad du gör, varför och hur. Det är viktigt att du inte fastnar i tungt, juridiskt språk, utan skriver så att läsaren förstår. Börja med att bestämma vilka områden du ska skriva om. Varje område ska ha en tydlig rubrik som förklarar vad som kommer under. På så sätt blir det lättare för läsaren att läsa och navigera genom texten. Det brukar behövas, eftersom de här texterna ofta blir väldigt långa. Använd vanligt språk. Skriv som du pratar. Tänk att du skulle berätta om vad ni gör när du fikar med en kompis.