Snart träder personuppgiftsförordningen (GDPR) i kraft. Har du koll på vad de nya kraven innebär eller känns det fortfarande förvirrande? På Hogia har vi arbetat med de här frågorna under en lång tid och kommer här att bena ut vad de olika begreppen innebär och vilka steg vi tar för att stå redo den 25 maj när den nya lagen träder i kraft.

Personuppgiftsbiträdesavtal – en del i GDPR
Vi har fått många frågor från er kunder rörande så kallade personuppgiftsbiträdesavtal. Här följer en förklaring till vad det är, varför det behövs och hur Hogia löser avtalsfrågan.

Ett företag som hanterar personliga uppgifter, till exempel genom en löneadministratör som hanterar anställdas personuppgifter, är personuppgiftsansvarig. En personuppgiftsansvarig kan anlita annan för att behandla personuppgifter och denna blir då ett personuppgiftsbiträde. Den som anlitar ett personuppgiftsbiträde behöver ha ett personuppgiftsbiträdesavtal gällande detta.

Precis som i nuvarande PUL ställer GDPR-förordningen krav på att det finns ett skriftligt personuppgiftsbiträdesavtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, skillnaden är att kraven på innehållet i detta avtal har ändrats. Hogia tillhandahåller olika tjänster där vi hjälper er kunder i egenskap av personuppgiftsbiträde.

Ett personuppgiftsbiträdesavtal skall uppfylla vissa definierade lagkrav och är en av komponenterna som företag och myndigheter behöver se över för att säkerställa att man uppfyller kraven enligt GDPR. Avtalet ska bland annat specificera varför och hur länge personuppgifterna behandlas.

För mer information se datainspektionen.se

För Hogias del innebär detta att vi, i de fall vi är personuppgiftsbiträde till dig som kund, behöver ha ett justerat avtal på plats. Då vi utvecklar, underhåller och säljer standardiserade programvaror, använder vi även standardiserade villkor, som beskriver de produkter och tjänster vi erbjuder. Genom att Hogia har ett standardiserat personuppgiftsbiträdesavtal särskilt framtaget för de produkter och tjänster som vi erbjuder säkerställs att avtalet korrekt beskriver vår behandling av våra kunders personuppgifter, vilket i sig är ett lagkrav.

Vi arbetar för närvarande på att uppdatera våra allmänna villkor med en förändring i denna del så att de korrekt beskriver Hogias förändrade hantering av personuppgifter och uppfyller kraven i personuppgiftsförordningen och övrig relevant reglering. Det här gäller såväl hantering av personuppgifter som personuppgiftsansvarig samt för de fall där Hogia är personuppgiftsbiträde. Våra justerade personuppgiftsbiträdesavtal kommer att kommuniceras till våra kunder i god tid innan dess att förordningen träder i kraft.

Via Kundtorget kan du löpande på ett smidigt sätt se dina uppdaterade avtalsvillkor och därmed känna dig trygg med att alltid ha tillgång till den senaste versionen. Hogia kommer att förmedla de justerade avtalsvillkoren via Kundtorget, men även genom fler kanaler för att säkerställa att vi når fram till dig som kund med den information och de justeringar som är av vikt.

GDPR-anpassningar i programmen
Våra produktutvecklare arbetar hårt med att genomföra de åtgärder som behöver göras i våra system. En sammanställning av GDPR-anpassningar i ekonomiprogrammen hittar du här »

När det gäller HR/lön kommer vi att publicera ett dokument på Kundtorget under mars månad – så håll utkik! Här är några punkter med vad vi konkret gör för åtgärder:

• I Personal Business Manager (PBM) förstärker vi lösenordshanteringen och cookiehanteringen samt skyddet för att hindra uppladdning av farliga filer.
  
  
• I lönesystemen arbetar vi på funktioner för att möjliggöra radering av personer, översyn av temp- och loggfiler, komplett registerutdrag av person- och anställningsuppgifter och funktion för ökad spårbarhet genom att införa auditlog i programmen.
  
  
• I de molnbaserade lösningarna såsom Smart Lön, MyTime, MyPayslip sker uppdateringar kontinuerligt och radera person-funktionen med flera kommer finnas med i uppdateringarna senast i maj månad.