Dataskyddsförordningen och Webfleet

Ladda ner guide

Den 25 maj 2018 träder EU:s dataskyddsförordning (GDPR) i kraft. Dataskyddsförordningen ersätter befintliga sekretesslagar i alla 28 EU-medlemsländer. Dataskyddsförordningen kan betraktas som en uppgradering av sekretesslagarna för att inkludera de senaste bedömningarna från EU:s olika tillsynsmyndigheter och för att tillgodose kraven från dagens tillvaro online. I själva verket innebär det här att större delen av det som krävs redan finns i lagarna. Därför bör det mesta fortgå som vanligt när dataskyddsförordningen börjar gälla.*

Viktiga delar i dataskyddsförordningen

Precis som tidigare sekretesslagar och förordningar syftar dataskyddsförordningen till att skydda individers intressen och rättigheter när deras data används för olika ändamål för egna och andras intressen eller för ekonomisk eller allmän nytta. Dataskyddsförordningen är därför mycket relevant i vardagen på arbetsplatsen.

Här presenterar vi några av de viktiga nya delarna i dataskyddsförordningen, som vi tycker kräver särskild uppmärksamhet från Webfleet-kunder:

De viktigaste ändringarna i den nya förordningen som träder i kraft:

Tonvikten ligger på individen, även som anställd
En viktig del av förordningen är att ge människor mer kontroll över sin data. Data från eller om en individ återspeglar trots allt individens identitet, beteende och preferenser: den visar vem vi är. Enligt dataskyddsförordningen måste individer informeras i förväg om vad som händer med informationen: vilken data som används, varför den används, hur länge den används och av vilka den används. De måste också kunna påverka det, till exempel genom att ge tillstånd, ingå avtal och genom att kunna avbryta dataanvändningen på begäran (med vissa begränsningar).
Ansvarstagande och risktänkande
Om ett företag bestämmer vad som händer med data från individer måste företaget kunna visa att hanteringen sker på ett korrekt sätt, med hänsyn till individernas rättigheter och dataskyddsförordningen. När det gäller datahantering måste du ta hänsyn till riskerna för den berörda personen. Det innebär att det måste finnas dokumentation om dina aktiviteter gällande data och varför du behöver behandla uppgifterna. Företag som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud (på deltid) om företaget uppfyller kraven för det (t.ex. om företaget har som kärnverksamhet att i stor omfattning övervaka enskilda personer).
En enda tillsynsmyndighet
Vi anser att dataskyddsförordningen utformades för att förena befintliga och olikartade sekretesslagar i hela EU. Det kan vara en fördel för multinationella företag som använder våra tjänster, särskilt de som har fordon som kör över landsgränser. Om du driver en multinationell verksamhet i EU kan det också innebära att du bara behöver förhålla dig till en myndighet – i det land där företagets huvudsakliga verksamhetsställe ligger. På samma sätt kan individer rätta sig efter myndigheter och lagar i sitt eget land.

Högre säkerhetskrav
Enligt dataskyddsförordningen ska uppgifter skyddas mot all slags obehörig användning utifrån en bedömning av hur känsliga uppgifterna är. Platsdata anses vara känslig eftersom den kan avslöja ganska mycket om individen. Allt detta kräver tekniska och organisatoriska säkerhetsåtgärder för att minska riskerna. Om det mot förmodan skulle ske en säkerhetsincident ska myndigheter och berörda personer (om de påverkas betydligt) underrättas inom 72 timmar beroende på incidentens allvarlighetsgrad.
Bötesstraff
Dataskyddsförordningen ger dataskyddsmyndigheten i varje EU-land rätten att utöva olika befogenheter. En av dessa befogenheter är möjligheten att påföra sanktionsavgifter vid överträdelser. I dataskyddsförordningen står det att sådana avgifter ska vara högst 4 % av den globala årsomsättningen per fall, beroende på överträdelsens allvarlighetsgrad.

Större delar av dataskyddsförordningen har motsvarigheter i befintliga lagar.

Dataskyddsförordningen definierar data som personuppgifter för människor i EU och använder termen ”behandling” för åtgärder beträffande personuppgifter, som bland annat innefattar insamling, lagring, överföring och användning.

Här är några av förordningens huvudprinciper som kvarstår från den föregående lagen:

Personuppgifter
Personuppgifter är ett centralt begrepp i dataskyddsförordningen. I huvudsak är det varje upplysning som avser en identifierad eller identifierbar fysisk person. Det inkluderar data som kan erhållas indirekt från unika identifierare som registreringsskyltar, VIN (fordonsnummer) och/eller andra enhetsmarkörer. Det är viktigt att poängtera att det enligt dataskyddsförordningen inte spelar någon roll vem som kan identifiera personuppgifterna. Om någon kan identifiera en person från uppgifterna måste de betraktas som personuppgifter trots att ingen faktisk identifiering har gjorts. Vi anser att man inte behöver känna till en persons namn för att uppgifter om personen ska betraktas som personuppgifter. Bara för att du behandlar personuppgifter betyder inte det att de inte får användas, det betyder bara att dataskyddsförordningen gäller och att vissa krav måste uppfyllas.
Endast särskilda fördefinierade ändamål
Dataskyddsförordningen föreskriver att personuppgifter ska användas för ett eller flera fördefinierade ändamål. Ändamålen måste vara specifika och tydligt beskrivna. Individen måste kunna förstå vad ett ändamål innebär. En individ bör kunna svara på frågan: faller behandlingen verkligen inom ramen för ändamålet?
Ändamålsbegränsning och uppgiftsminimering
Enligt dataskyddsförordningen ska personuppgifter behandlas på ett rimligt sätt när det gäller typ, mängd och hur länge de lagras, utifrån det definierade ändamålet. En rimlig mängd och tid innebär att uppgifterna bara får behandlas i så stor utsträckning och så länge det är absolut nödvändigt.
Tydlig förklaring i förväg
Vår uppfattning är att behandling av personuppgifter kräver en tydlig och användarvänlig förklaring. Förklaringen ska vara som en handbok, inte ett kontrakt. Naturligtvis måste förklaringen finnas tillgänglig för individerna innan du börjar använda personuppgifterna och därefter också förbli tillgänglig.

Laglig behandling av personuppgifter
Behandling är endast laglig om den uppfyller vissa villkor. Det finns sex villkor varav minst ett måste uppfyllas:
1. Personen har lämnat sitt samtycke till behandlingen.
2. Behandlingen är nödvändig för att fullgöra ett avtal.
3. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse.
4. Behandlingen är nödvändig för att skydda viktiga intressen för den berörda personen eller en annan fysisk person.
5. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller myndighetsintresse.
6. Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges berättigade intressen.
Hoppa till innehåll
Fyra av de sex villkoren är relevanta för företag. En laglig grund för att behandla data för Webfleet kan exempelvis vara samtycke. Observera att dataskyddsförordningen inte kräver eller rekommenderar samtycke under alla omständigheter, särskilt i anställningsförhållanden. Personuppgifter får användas utan samtycke i den utsträckning det är nödvändigt för att fullgöra ett avtal med motparten. Det kan också vara att det finns en särskild lag som kräver användning av personuppgifter. I dessa fall behövs inget samtycke.
Enligt punkt 6 ovan anger förordningen också att personuppgifter kan behandlas utan att fråga om samtycke när du har ett berättigat intresse att göra det. Vanligtvis handlar det om att utreda bedrägerier, missbruk, säkerhetsproblem och verksamhetsanalys. Det kan också gälla arbetsmiljön och situationer som inte omfattas av anställningsavtalet, till exempel de olika ändamålen för vilka fordonstelematik används. I dessa fall tycker vi ändå det är bäst att behandla så lite uppgifter som möjligt för ändamålet (för att minimera inverkan på personens sekretess) och se till att datainsamlingen följer dataskyddsförordningen.
Individens rätt till tillgång, korrigering, klagomål, radering och dataportabilitet
Dataskyddsförordningen ger individer vissa rättigheter när deras personuppgifter behandlas. Individer har rätt att ta del av och få ut de personuppgifter som rör honom eller henne. Om uppgifterna är felaktiga kan de begära korrigering. Individerna har också rätt att få uppgifterna i ett maskinläsbart format samt att radera uppgifterna om de erhölls och användes efter samtycke eller för att fullgöra ett avtal.
Skydda konfidentialitet, integritet och tillgänglighet med lämpliga säkerhetsåtgärder
Personuppgifter ska skyddas enligt dataskyddsförordningen. Det innebär att uppgifterna ska vara skyddade mot obehörig och olaglig tillgång, användning och förlust. Enligt dataskyddsförordningen ska det ske utifrån en bedömning av lämplig säkerhetsnivå som medför löpande tekniska och organisatoriska åtgärder. Det här är de tekniska och organisatoriska åtgärder som måste vidtas och upprätthållas i det syftet.

Personuppgiftsbiträdets och den personuppgiftsansvariges roller enligt dataskyddsförordningen.

På Webfleet, hjälper vi kunderna att komma närmare sina förare.

Som personuppgiftsbiträde agerar vi på instruktion från våra kunder för att samla in information om fordon och förare när vi erbjuder våra vagnparkshanteringstjänster via vår hårdvara. Vi behandlar informationen och presenterar den i våra appar, webbaserade användargränssnitt och API:er.

Ändamålet med behandlingen av uppgifterna enligt föreskrifterna i dataskyddsförordningen.

Våra kunder använder våra produkter för vagnparksoptimering. Här är några exempel på användningsområden och ändamål:
- Spåra fordon
- Körbeteende och bränslebesparingar
- Förarkommunikation
- Färdskrivare och återstående körtid
- Omfattande hanteringsrapportering för verksamhetsoptimering
- Integrering av lösningar från tredje part

Vilka uppgifter samlar vi in och behandlar för våra kunders räkning?
- Transaktionsdata: Data som skapas genom att använda våra produkter, särskilt enheter.
- Användarhanterad data och skapat innehåll: Data som skapas av användare av produkter från Webfleet.
- Sammanlagd data: Data som härrör från transaktionsdata genom att använda statistisk analys.

När vi interagerar med våra kunder, till exempel genom att samla in personuppgifter på vår webbplats, är Webfleet personuppgiftsansvarig för uppgifterna.

Dataskydd och dataskyddsförordningen hos Webfleet,.

Här på Webfleet har vi studerat dataskyddsförordningen och vad den kommer att innebära sedan 2012 när de första utkasten publicerades. Den har blivit en väsentlig del av hur vi har utvecklat våra telematiklösningar för våra kunder under de senaste åren. För oss är dataskyddsförordningen en evolution, inte en revolution. För att underlätta har vi tagit fram fem grundläggande designprinciper:

Webfleet designprinciper för databehandling:

Det är Webfleet-kunden som styr
Webfleet agerar alltid på instruktion från Webfleet-kunden. Uppgifterna gäller endast kunden. Kunden bestämmer. Det innebär att vi erbjuder kunden en mycket konfigurerbar lösning. Vi kan föreslå olika ändamål för vilka uppgifterna kan användas, men Webfleet-kunden fattar det slutgiltiga beslutet om för vilka ändamål de används och hur du konfigurerar och använder systemet i detalj.
Respekt för andra intressenters intressen
Vårt system går att konfigurera för att tillgodose många olika intressenter med olika roller, ansvar och kapaciteter i olika situationer. Webfleet-kunder kan till exempel låta förare skilja mellan affärsresor och privata resor och förarnas överordnade kan få begränsad förmåga att se och påverka. Vi hjälper också Webfleet-kunden att beakta individernas rättigheter, till exempel att ha tillgång till och kunna radera uppgifterna.
Lagringsminimering
Webfleet-kunder kan på olika sätt konfigurera vilka uppgifter som samlas in och hur länge de ska lagras. För att underlätta för Webfleet-kunder har vi gjort rimliga standardinställningar som stämmer med hur de flesta Webfleet-kunder använder sin vagnpark, men det går självklart att ändra standardinställningarna.

Allt kräver tydliga förklaringar
Vi förespråkar att alla ska förstå hur deras uppgifter används. Därför har vi tagit fram onlinehandböcker och utbildningsmaterial på ett enkelt och lättförståeligt språk.
Motverka missbruk
Vi lägger stor vikt på informationssäkerhet på Webfleet,. Vår säkerhet utvärderas och certifieras årligen av en tredje part. Det bästa sättet att hantera en dataläcka är att inte låta den inträffa. Olyckor har tråkigt nog en tendens att inträffa förr eller senare. Därför har Webfleet som mål att ha ett gediget svar på incidenter, vilket inkluderar att meddela dig omgående och samarbeta mot en lösning.

Hämta Bästa praxis-guiden för Telematics gällande GDPR

En omfattande guide till bästa praxis gällande dataskyddsförordningen och Telematics, med en användbar åtgärdsplan som hjälper dig i processen med att efterleva reglerna.

Ladda ner guide

Mer information om dataskyddsförordningen.

Tveka inte att kontakta oss här om du har fler frågor om dataskyddsförordningen.

Läs mer om dataskyddsförordningen på Europeiska kommissionen och ICO (Information Commissioners Office) via länkarna nedan:

Mer information om Webfleet, dataskydd, säkerhet och sekretess.

På Webfleet, jobbar vi för att säkerställa skydd för information och datasekretess. Vi investerar löpande i teknik, processer och personal så att vi alltid kan ge dig de mest tillförlitliga telematiktjänsterna på marknaden.

Som en av världens största leverantörer av telematiktjänster är det viktigt att vi löpande investerar i våra tjänster. Vi genomför ständiga förbättringar för att se till att vi är den bästa partnern för din verksamhet – nu och i framtiden. Mer information om datasekretess på Webfleet-tjänsteplattformen hittar du här.

* FRISKRIVNING: Informationen på Webfleet-webbplatsen är endast avsedd i informationssyfte och uttrycker vår syn på ämnet. Informationen bör inte betraktas som juridisk rådgivning. Informationen på vår webbplats kanske inte heller återspeglar de senaste lagändringarna. Du bör inte agera på informationen utan att söka juridisk rådgivning.