Är ditt taxiföretag redo för GDPR? EU har skärpt regleringen kring hantering av personuppgifter och det ställer nya hårdare krav på hantering av personuppgifter för samtliga företag. Den nya regleringen (GDPR) träder i kraft den 25:e maj 2018 och är en förstärkning av den gamla personuppgiftslagen. Skillnaden mot den tidigare PUL är att den bland annat ställer högre krav på redovisning av de åtgärder man vidtar för att säkerställa kundens integritet. Vidare innebär den nya GDPR risk för strängare sanktioner såsom höga sanktionsavgifter.
Taxiförbundet är nu i full färd att förbereda sig inför införandet av GDPR och har tagit in jurister för att se över våra system och datahantering. Personuppgifter är i den nya regleringen allt ifrån namn i mejladresser till kunduppgifter samlade i datoriserade system och register.Vad bör du/ni göra för att förbereda er inför GDPR?
- Den nya regleringen kräver att du har full kontroll på var du har data som motsvarar personuppgifter och i vilket syfte; från mejladresser till personnummer och noteringar av kunduppgifter (- som exempelvis på åkommor vid sjukresor).Börja med att gå igenom var du har data och i vilket syfte – detta inkluderar data i Excel-ark och data på enskilda handläggares datorer.
- Har ni dessutom underleverantörer – exempelvis taxisystem där data handhas men där ni har annan underleverantör – så bör ni skriva personuppgiftsbiträdesavtal med dessa som uppfyller GDPR:s krav om bland annat hur data får hanteras och vem som har ansvar för dessa uppgifter (GDPR innehåller särskilda bestämmelser om vad ett sådant personuppgiftsbiträdesavtal ska innehålla, i syfte att ålägga underleverantören vissa skyldigheter i termer av integritetsskydd).
- Har ni dessutom underleverantörer – exempelvis taxisystem där data handhas men där ni har annan underleverantör – så bör ni skriva personuppgiftsbiträdesavtal med dessa som uppfyller GDPR:s krav om bland annat hur data får hanteras och vem som har ansvar för dessa uppgifter (GDPR innehåller särskilda bestämmelser om vad ett sådant personuppgiftsbiträdesavtal ska innehålla, i syfte att ålägga underleverantören vissa skyldigheter i termer av integritetsskydd).
- Nästa del är att kunden, i vissa fall, aktivt måste ha samtyckt till att du har deras uppgifter (inklusive e-mejl) – I nästa steg bör ni förbereda en GDPR-text att sända ut till kunder där de aktivt får samtycka till att ni har uppgifter på dem för behandling som kräver samtycke. – Denna text bör formuleras av jurist utifrån de krav på samtycke och information som krävs enligt GDPR. Jurist bör även bedöma om ni bör inhämta samtycke eller grunda behandlingen på annan laglig grund enligt GDPR.
- Förbered även en effektiv exit av data. Visar det sig att ni inte får samtycke från vissa kunder, i de fall detta krävs, eller att ni annars inte får eller bör behandla personuppgifterna i fråga (exempelvis på grund av att de inte behövs) så ska/bör uppgifterna heller inte finnas kvar i era system – det innebär att deras data ska raderas ur samtliga register och backuper ni har där personen förekommer. – Här behövs också en plan för ”exit” av data. Observera dock att raderingen i sig innebär en behandling som ska vara övervägd – kan det finnas ett intresse hos kunden att ni sparar uppgifterna?
- Ni bör även överväga om ni ska eller annars bör utse ett dataskyddsombud. Personalen ska då ges en relevant utbildning i de nya reglerna eftersom varje arbetsgivare ansvarar för att handläggare behandlar data på tillåtet sätt. Förbundet har påbörjat denna översyn av vår egen datahantering i syfte anpassa vår verksamhet och personuppgiftsbehandling efter kravställningen i GDPR.
Ni får gärna återkomma med vilka behov ni har kring detta utifrån checklistan ovan så ska vi se över hur vi ska kunna hjälpa er!