GDPR-arbetet hos Wolters Kluwer
Den 25 maj 2018 ersattes Personuppgiftslagen (PUL) av General Data Protection Regulation (GDPR). Syftet med den nya dataskyddsförordningen är både att stärka personers integritetsskydd och att harmonisera handeln inom EU.
GDPR innebär högre krav vid hantering av personuppgifter. Precis som tidigare gäller att man endast får samla in och lagra de personuppgifter som är nödvändiga, och bara spara dem så länge de behövs. En stor skillnad är ett hårdare informationskrav om syftet, samt att det ska bli lättare att få sina uppgifter korrigerade, överflyttade eller borttagna.
Här vill vi berätta om hur vi inom Wolters Kluwer arbetar för att uppfylla de nya riktlinjerna för vår verksamhet i Skandinavien, både avseende där vi är personuppgiftsansvariga, och där vi är personuppgiftsbiträde. Men också där vi inte har ett strikt GDPR-ansvar.
GDPR hos Wolters Kluwer
Våra GDPR-roller
Inom Wolters Kluwer hanterar vi alla GDPR-krav i våra olika applikationer, system och andra processer. Ett mycket omfattade arbete påbörjades inom koncernen redan hösten 2016 och sedan våren 2017 har vår skandinaviska affärsenhet haft ett aktivt GDPR-projekt med en dedikerad projektledare. Arbetet har både bedrivits tillsammans med koncernens experter på området, bl a vårt dataskyddsombud i Nederländerna, samt med fokus på den databehandling som görs i vår lokala skandinaviska verksamhet.
Projektet har gjort en omfattande inventering av alla berörda databehandlingar samt vilka åtgärder som behöver vidtas för att dessa ska vara förenliga med GDPR. Sådana åtgärder omfattar situationer där:
-
Wolters Kluwer är personuppgiftsansvarig (PUA)
Gäller databehandlingar i våra interna system där vi har kontakt med våra kunder för marknadsföring, försäljning, order och support -
Wolters Kluwer är personuppgiftsbiträde (PUB)
Gäller våra molnbaserade produkter och de programvaror där vi lagrar data åt våra kunder, dvs Capego, Penneo och finsit. -
Wolters Kluwer är leverantör utan formellt GDPR-ansvar
Avseende de produkter där vi inte lagrar data för våra kunders räkning, dvs de allra flesta, är Wolters Kluwer leverantör och har inte i strikt mening ett GDPR-ansvar i form av personuppgiftsansvarig eller personuppgiftsbiträde. Läs mer under rubriken Övriga produkter.
GDPR i våra produkter
Molnprodukter och program där vi lagrar data åt våra kunder
I de fall där Wolters Kluwer är personuppgiftsbiträde (PUB) i programvarans databehandling har allmänna villkor uppdaterats så att GDPR-frågor blir tydligt överenskomna mellan oss och våra kunder. Genom att inkludera de GDPR-standarder som finns för denna överenskommelse i våra allmänna villkor för Online Services så behöver vi inte teckna särskilda biträdesavtal. Som kund får du alltså ett biträdesavtal genom våra allmänna villkor.
Wolters Kluwer gör det möjligt för våra kunder att respektera de registrerades rättigheter som anges i GDPR gentemot sina egna kunder (radering, korrigering, begränsning, invändning, portabilitet och öppenhet), med hjälp av ny / förbättrad funktionalitet och anvisningar.
Wolters Kluwer tillämpar strängare lagringspolicies för personuppgifter så att personuppgifter raderas när de inte längre behövs.
Wolters Kluwer tillämpar kryptering, anonymisering och pseudonymisering där det är relevant för att minska informationssäkerhetsriskerna i samband med behandling av personuppgifter på uppdrag av våra kunder.
Övriga produkter
I de fall där vi är leverantör och därmed inte har ett formellt GDPR-ansvar, dvs i de produkter där vi inte lagrar data för våra kunders räkning, så har vi underlättat för våra kunder att följa GDPR. Exempel på sådana produkter är Bokslut, Skatt, Revision och Byrå. Gemensamt för alla programvaror är tillämpning av det som kallas ”privacy by design” och ”privacy by default”. Detta är våra interna direktiv för vår fortsatta produktutveckling, där vi bygger in ett skydd för persondata i våra programvaror.
Vi gör det möjligt för våra kunder att säkert överföra data till Wolters Kluwer när det är nödvändigt för t.ex. supportärenden, genom kryptering och anonymisering.
Användarens ansvar
I de allra flesta fall så är det användaren av våra programvaror som bär det stora GDPR-ansvaret. Användarens organisation behöver säkerställa laglig grund för sina databehandlingar, till exempel genom uppdaterade avtalsvillkor med sina kunder eller i sina uppdragsbrev.
GDPR i våra egna behandlingar
Inom Wolters Kluwer och i vår roll som Personuppgiftsansvarig (PUA) har vi genomfört vi ett omfattande arbete för GDPR-anpassning.
Arbetet har omfattat dedikerade resurser på olika nivåer inom vår organisation samt externa juridiska rådgivare och domänexperter.
Detta är några av de områden som vi arbetat med:
-
Personuppgifter som vi sparar i våra interna system för kontakt med våra kunder, försäljning, order och support samt marknadsföring etc omfattas av vår integritetspolicy.
-
Konsekvensbedömning avseende dataskydd - Bedömning av effekterna av varje behandling och hur det påverkar den registrerades rättigheter.
-
Lagring av data - Specificerade lagringsperioder (för kunddata och intern data), instruktioner och åtgärder för att säkerställa att personuppgifter inte behålls längre än vad som är nödvändigt.
-
Den registrerades rättigheter - Processer och förfaranden för att stödja den registrerade att utöva sina rättigheter enligt GDPR.
-
Tredjeparts Personuppgiftsbiträden - överenskommelser med våra tredjepartsbiträden som behandlar personuppgifter för Wolters Kluwer Scandinavia.
Mer information om GDPR
Här hittar du mer information om GDPR:
Anvisningar för vad som gäller när du använder våra produkter
- GDPR – generell introduktion >>
- GDPR – praktiska tips för dig som använder våra produkter Bokslut, Byrå, Byrå Tid, Dokument, Boutredning, Koncern, Revison, Skatt och Transaktionsanalys >>
- GDPR i supporten
I vårt webbmagasin Insight har vi publicerat några artiklar i ämnet:
- Tankar inför GDPR – krönika av advokat Carl Otto Lange >>
- 7 saker revisorer och redovisningsekonomer behöver veta om GDPR >>