Roller och ansvar för data
För hantering av data finns det två definierade roller med tillhörande ansvarsområden. När det gäller en kund som använder Pureservice i molnet är kunden personuppgiftsansvarig och Pureservice personuppgiftsbiträde.
- Personuppgiftsansvarig är en person eller juridisk enhet som bestämmer varför och hur uppgifterna ska användas.
- Personuppgiftsbiträdet är en person eller juridisk enhet som utför behandlingen av dessa uppgifter för den personuppgiftsansvariges räkning.
Det finns också termer som är tillämpliga på dataskydd:
- En fysisk person är en levande individ, i motsats till en juridisk person, t.ex. ett företag.
- En registrerad är en fysisk person vars information behandlas.
Personuppgiftsansvarig
Som personuppgiftsansvarig är kunden ansvarig för att bestämma hur uppgifter samlas in, lagras, används, delas, arkiveras och förstörs samt för att uppgifterna är korrekta och konfidentiella. Kunden är också ansvarig för att uppfylla kraven i lagarna i de jurisdiktioner där de bedriver verksamhet för insamling av uppgifter och för att visa att de följer tillämpliga lokala och internationella lagar.
Den personuppgiftsansvarige har ytterligare rättsliga skyldigheter och fastställer följande:
- Syftet med insamlingen av uppgifterna
- Vilka uppgifter som samlas in
- Hur uppgifterna används
- Hur länge uppgifterna lagras
- Var uppgifterna lagras
- Vem som är personuppgiftsbiträde
Personuppgiftsbiträdet
Som personuppgiftsbiträde stödjer Pureservice den personuppgiftsansvarige genom att tillhandahålla funktioner för att möjliggöra åtkomst till och kontroll av personuppgiftsbehandlingens aktiviteter och skyldigheter. Detta inkluderar att upprätthålla och söka register för databehandling, genomföra nödvändiga säkerhetsåtgärder, meddela den personuppgiftsansvarige i händelse av dataintrång och rikta alla lagliga förfrågningar från behöriga parter till den personuppgiftsansvarige.
Personuppgiftsbiträdet har följande ansvarsområden:
- Stödja den personuppgiftsansvarige
- Behandla uppgifter för den personuppgiftsansvariges räkning
- Säkerställa konfidentialitet
- Säkerställa att tekniska och administrativa åtgärder finns på plats för att skydda uppgifterna
- Möjliggöra att register över databehandling sparas
- Informera den personuppgiftsansvarige om eventuella dataintrång
Pureservice erbjuder samarbete och hjälp till personuppgiftsansvariga för att säkerställa att den personuppgiftsansvariges skyldigheter enligt tillämplig dataskyddslagstiftning uppfylls. För mer information, se Service- och personuppgiftsbiträdesavtalet.
Är det okej att behandla personuppgifter i en molntjänst?
Behandling och lagring av personuppgifter i molnet är i de flesta sammanhang lagligt och praktiskt genomförbart, även för den offentliga sektorn, men ansvaret för behandlingen av personuppgifter kommer alltid att ligga hos den personuppgiftsansvarige, vilket beskrivs av den norska dataskyddsmyndigheten - om anmälan och licens.
Omfattas Pureservice i molnet av ett personuppgiftsbiträdesavtal?
Ja, Pureservice i molnet omfattas av ett databehandlingsavtal i enlighet med gällande dataskyddslagstiftning som en del av det serviceavtal som ingåtts för Pureservice.
Stödjer Pureservice GDPR:s principer för behandling av personuppgifter?
Pureservice stödjer principerna om uppgiftsminimering, korrekthet, lagringsbegränsning, integritet och konfidentialitet. Pureservice strävar också efter att värna om de registrerades rätt till tillgång, rättelse, radering, begränsning av behandling, dataportabilitet och samtycke.
Den personuppgiftsansvarige är alltid ansvarig för att utvärdera och dokumentera lagring och behandling av personuppgifter och se till att reglerna följs.
I följande tabell beskrivs integritetsprinciperna och hur Pureservice kan användas för att stödja dessa principer:
| Princip |
Beskrivning av hur Pureservice stödjer dessa principer |
| Minimering av data |
Personuppgifter ska vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål för vilka de behandlas. Pureservice kräver inte insamling av personuppgifter utöver vad som är nödvändigt för att identifiera och få tillgång till ärendehandläggare och kontaktpersoner relaterade till ärendehantering. |
| Noggrannhet |
Personuppgifterna ska vara korrekta och vid behov uppdaterade. Pureservice har en självbetjäningsportal som visar identifieringsuppgifter samt annan information om den registrerade och vad som händer i alla ärenden som rör den registrerade. |
| Begränsningar för lagring |
Personuppgifter ska lagras på ett sådant sätt att det inte är möjligt att identifiera de registrerade under längre tid än vad som är nödvändigt för det ändamål för vilket personuppgifterna behandlas. Det åligger den personuppgiftsansvarige att dokumentera rutiner för lagringsbegränsningar utifrån ändamålet med behandlingen. I Pureservice kan du anonymisera användare, radera ärenden och ta bort kommunikationselement i ett ärende med en knapptryckning. |
| Integritet och sekretess |
"Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifter, inklusive skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med hjälp av lämpliga tekniska eller organisatoriska åtgärder". Pureservice implementerar åtkomstkontroll för att förhindra obehörig åtkomst och segregering av kundinformation baserat på rollens behov. Autentisering kan kopplas till organisationens befintliga autentiseringsmekanismer. Ytterligare säkerhetsåtgärder relaterade till Pureservice molntjänst finns beskrivna i Pureservice i molnet och Säkerhet - FAQ. Om ni driftar Pureservice i eget datacenter är det upp till ert företag att vidta lämpliga åtgärder avseende säkring av driftmiljö, säkerhetsuppdateringar, konfigurationshantering, backup, återställning och andra åtgärder som säkerställer lösningens konfidentialitet, integritet och tillgänglighet. |
Hur stödjer Pureservice uppfyllandet av individuella rättigheter i GDPR?
I dataskyddsförordningen har den registrerade ett antal individuella rättigheter. Det är upp till den personuppgiftsansvarige att underlätta processer och rutiner som säkerställer dessa rättigheter. Detta gäller även för personuppgifter som lagras och behandlas i Pureservice.
Om så önskas kan information som lagras i Pureservice göras tillgänglig för varje kontaktperson genom en åtkomstkontrollerad självbetjäningsportal.
I följande tabell beskrivs individens lagstadgade rättigheter och hur Pureservice kan användas för att stödja dessa rättigheter:
| Individens rättighet |
Beskrivning av hur Pureservice stödjer dessa rättigheter |
| Rätt till information |
Den registrerade ska informeras om att uppgifter om honom eller henne samlas in och hur de kommer att användas. Pureservice kan användas för registrering och rapportering av behandlingsaktiviteter. Dessa aktiviteter är helt och hållet den personuppgiftsansvariges ansvar. |
| Rätt till tillgång |
Den registrerade kan begära information om sina personuppgifter från den personuppgiftsansvarige, och denna information ska normalt tillhandahållas inom en månad från mottagandet. Om begäran om tillgång skickas till Pureservice kommer den att omdirigeras till den personuppgiftsansvarige utan onödigt dröjsmål.Sök- och rapporteringsfunktioner gör det möjligt att identifiera och presentera uppgifter som rör enskilda personer och Pureservice stöder en mängd olika utdataformat och integrationer för att uppfylla denna skyldighet. Dessa aktiviteter är helt och hållet den personuppgiftsansvariges ansvar. |
| Rätt till rättelse |
Registrerade personer kan begära att felaktiga personuppgifter rättas. De måste informeras om dessa felaktiga uppgifter har lämnats ut till tredje part och dessa tredje parter måste informeras om rättelsen om det är möjligt. Pureservice har loggningsfunktioner som gör det möjligt för personuppgiftsansvariga att avgöra när uppgifter har ändrats och av vem. Integrationer med webbtjänster möjliggör vid behov realtidsintegrationer med tredje part. Dessa aktiviteter är helt och hållet den personuppgiftsansvariges ansvar. |
| Rätt till radering |
Registrerade kan begära radering eller borttagning av personuppgifter om det inte finns något tvingande skäl för fortsatt behandling, t.ex. om den enskilde återkallar sitt samtycke. Personuppgiftsansvariga är fullt ansvariga för radering av uppgifter. Pureservice har revisions- och rapporteringsfunktioner som kan ge tillgång till sådana uppgifter och bevis på radering. Pureservice ansvarar för att säkerställa att data som raderats från kundinstanser återspeglas på alla platser där denna data lagras . Säkerhetskopior åldras under en period om 30 dagar, varefter inga uppgifter om raderad data kommer att finnas kvar i Pureservice infrastruktur .
|
| Rätt till begränsning |
Registrerade kan begära att viss behandling blockeras. Detta är ett omfattande ämne som kan omfatta många variabler. Pureservice har ett affärsregelsystem för att respektera en "do not share"-begränsning och rapportering av sådana aktiviteter eller begränsningar. Dessa aktiviteter är den personuppgiftsansvariges ansvar. |
| Rätt till dataportabilitet |
Den registrerade kan begära att få ut och återanvända sina personuppgifter för sina egna syften och måste kunna överföra uppgifterna på ett enkelt och säkert sätt. Pureservice stöder en mängd olika strukturerade dataformat, inklusive det vanliga öppna CSV-formatet, JSON etc. för att hämta information . Dessa aktiviteter är helt och hållet den personuppgiftsansvariges ansvar. |
| Rätt att göra invändningar |
Registrerade personer har rätt att invända mot behandling och enskilda personer ska tydligt informeras om denna rätt vid första kommunikationstillfället. Pureservice kan användas för att automatisera och registrera detta. Dessa aktiviteter är helt och hållet den personuppgiftsansvariges ansvar. |
| Rättigheter i samband med automatiserat beslutsfattande och profilering |
Dessa rättigheter innebär ett skydd mot risken för att ett potentiellt skadligt beslut fattas utan mänsklig inblandning. Pureservice har rapporteringsfunktioner som gör det möjligt att identifiera incidenter och individer som är föremål för specifika processer som omfattas av denna rättighet. Dessa aktiviteter är helt och hållet den personuppgiftsansvariges ansvar. |
Vilka personuppgifter lagras i Pureservice?
Pureservice innehåller information om handläggare (namn, e-post, telefonnummer) i syfte att kontrollera åtkomst och underlätta handläggningen av ärenden. Pureservice innehåller också information om kontaktpersoner (namn, e-post, telefonnummer) för ärendehantering och åtkomstkontroll.
Det är upp till varje organisation som använder Pureservice (den personuppgiftsansvarige) att bestämma vilken övrig information som lagras och behandlas i Pureservice.
Var lagras uppgifterna i Pureservice i molnet?
Pureservice i molnet och tillhörande databaser drivs i datacenter i Norge.
Används underleverantörer i samband med Pureservice i molnet?
Pureservice i molnet använder Microsoft Azure som hostingplattform. Det är valfritt att använda inbyggd e-post (Mailgun) för kunder som inte har en egen e-postserver. Du kan hitta andra leverantörer här
Vad händer med kunddata om ni slutar använda Pureservice i molnet?
Molninstanser som inte längre omfattas av ett giltigt avtal kommer att finnas tillgängliga i begränsad form 90 dagar efter avtalets utgång för att kunden ska kunna hämta nödvändig data.
Hur meddelar vi våra kunder om integritetsincidenter relaterade till Pureservice i molnet?
Om vi upptäcker ett dataintrång relaterat till en viss kund kommer den person som är registrerad som huvudkontakt vid tidpunkten för avtalets ingående att meddelas via e-post så snart som möjligt och senast inom de tidsfrister som anges i GDPR.
Har Pureservice stöd för radering eller anonymisering av personuppgifter?
Ja, Pureservice har funktionalitet för att anonymisera användarinformation.
Om du behöver mer information, vänligen kontakta oss.
