Dataskydds­för­ord­ningen och Webfleet

Den 25 maj 2018 träder EU:s dataskydds­för­ordning (GDPR) i kraft. Dataskydds­för­ord­ningen ersätter befintliga sekre­tess­lagar i alla 28 EU-med­lems­länder. Dataskydds­för­ord­ningen kan betraktas som en uppgra­dering av sekre­tess­la­garna för att inkludera de senaste bedöm­ningarna från EU:s olika tillsyns­myn­dig­heter och för att tillgodose kraven från dagens tillvaro online. I själva verket innebär det här att större delen av det som krävs redan finns i lagarna. Därför bör det mesta fortgå som vanligt när dataskydds­för­ord­ningen börjar gälla.*

Viktiga delar i dataskydds­för­ord­ningen

Precis som tidigare sekre­tess­lagar och förord­ningar syftar dataskydds­för­ord­ningen till att skydda individers intressen och rättigheter när deras data används för olika ändamål för egna och andras intressen eller för ekonomisk eller allmän nytta. Dataskydds­för­ord­ningen är därför mycket relevant i vardagen på arbets­platsen.

Här presenterar vi några av de viktiga nya delarna i dataskydds­för­ord­ningen, som vi tycker kräver särskild uppmärk­samhet från Webfleet-kunder:

De viktigaste ändringarna i den nya förord­ningen som träder i kraft:

  1. Tonvikten ligger på individen, även som anställd

    En viktig del av förord­ningen är att ge människor mer kontroll över sin data. Data från eller om en individ återspeglar trots allt individens identitet, beteende och preferenser: den visar vem vi är. Enligt dataskydds­för­ord­ningen måste individer informeras i förväg om vad som händer med infor­ma­tionen: vilken data som används, varför den används, hur länge den används och av vilka den används. De måste också kunna påverka det, till exempel genom att ge tillstånd, ingå avtal och genom att kunna avbryta dataan­vänd­ningen på begäran (med vissa begräns­ningar).

  2. Ansvars­ta­gande och risktän­kande

    Om ett företag bestämmer vad som händer med data från individer måste företaget kunna visa att hanteringen sker på ett korrekt sätt, med hänsyn till indivi­dernas rättigheter och dataskydds­för­ord­ningen. När det gäller datahan­tering måste du ta hänsyn till riskerna för den berörda personen. Det innebär att det måste finnas dokumen­tation om dina aktiviteter gällande data och varför du behöver behandla uppgifterna. Företag som behandlar person­upp­gifter måste i vissa fall utse ett dataskydds­ombud (på deltid) om företaget uppfyller kraven för det (t.ex. om företaget har som kärnverk­samhet att i stor omfattning övervaka enskilda personer).

  3. En enda tillsyns­myn­dighet

    Vi anser att dataskydds­för­ord­ningen utformades för att förena befintliga och olikartade sekre­tess­lagar i hela EU. Det kan vara en fördel för multi­na­tio­nella företag som använder våra tjänster, särskilt de som har fordon som kör över lands­gränser. Om du driver en multi­na­tionell verksamhet i EU kan det också innebära att du bara behöver förhålla dig till en myndighet – i det land där företagets huvud­sakliga verksam­hets­ställe ligger. På samma sätt kan individer rätta sig efter myndigheter och lagar i sitt eget land.

  1. Högre säker­hetskrav

    Enligt dataskydds­för­ord­ningen ska uppgifter skyddas mot all slags obehörig användning utifrån en bedömning av hur känsliga uppgifterna är. Platsdata anses vara känslig eftersom den kan avslöja ganska mycket om individen. Allt detta kräver tekniska och organi­sa­to­riska säker­hets­åt­gärder för att minska riskerna. Om det mot förmodan skulle ske en säker­hets­in­cident ska myndigheter och berörda personer (om de påverkas betydligt) underrättas inom 72 timmar beroende på incidentens allvar­lig­hetsgrad.

  2. Bötesstraff

    Dataskydds­för­ord­ningen ger dataskydds­myn­dig­heten i varje EU-land rätten att utöva olika befogen­heter. En av dessa befogen­heter är möjligheten att påföra sanktions­av­gifter vid överträ­delser. I dataskydds­för­ord­ningen står det att sådana avgifter ska vara högst 4 % av den globala årsom­sätt­ningen per fall, beroende på överträ­delsens allvar­lig­hetsgrad.

Större delar av dataskydds­för­ord­ningen har motsva­rig­heter i befintliga lagar.

Dataskydds­för­ord­ningen definierar data som person­upp­gifter för människor i EU och använder termen ”behandling” för åtgärder beträffande person­upp­gifter, som bland annat innefattar insamling, lagring, överföring och användning.

Här är några av förord­ningens huvud­prin­ciper som kvarstår från den föregående lagen:

  1. Person­upp­gifter

    Person­upp­gifter är ett centralt begrepp i dataskydds­för­ord­ningen. I huvudsak är det varje upplysning som avser en identi­fierad eller identi­fi­erbar fysisk person. Det inkluderar data som kan erhållas indirekt från unika identi­fi­erare som registre­rings­skyltar, VIN (fordons­nummer) och/eller andra enhets­mar­körer. Det är viktigt att poängtera att det enligt dataskydds­för­ord­ningen inte spelar någon roll vem som kan identifiera person­upp­gif­terna. Om någon kan identifiera en person från uppgifterna måste de betraktas som person­upp­gifter trots att ingen faktisk identi­fi­ering har gjorts. Vi anser att man inte behöver känna till en persons namn för att uppgifter om personen ska betraktas som person­upp­gifter. Bara för att du behandlar person­upp­gifter betyder inte det att de inte får användas, det betyder bara att dataskydds­för­ord­ningen gäller och att vissa krav måste uppfyllas.

  2. Endast särskilda förde­fi­ni­erade ändamål

    Dataskydds­för­ord­ningen föreskriver att person­upp­gifter ska användas för ett eller flera förde­fi­ni­erade ändamål. Ändamålen måste vara specifika och tydligt beskrivna. Individen måste kunna förstå vad ett ändamål innebär. En individ bör kunna svara på frågan: faller behand­lingen verkligen inom ramen för ändamålet?

  3. Ändamåls­be­gränsning och uppgifts­mi­ni­mering

    Enligt dataskydds­för­ord­ningen ska person­upp­gifter behandlas på ett rimligt sätt när det gäller typ, mängd och hur länge de lagras, utifrån det definierade ändamålet. En rimlig mängd och tid innebär att uppgifterna bara får behandlas i så stor utsträckning och så länge det är absolut nödvändigt.

  4. Tydlig förklaring i förväg

    Vår uppfattning är att behandling av person­upp­gifter kräver en tydlig och använ­dar­vänlig förklaring. Förkla­ringen ska vara som en handbok, inte ett kontrakt. Natur­ligtvis måste förkla­ringen finnas tillgänglig för individerna innan du börjar använda person­upp­gif­terna och därefter också förbli tillgänglig.

  1. Laglig behandling av person­upp­gifter

    Behandling är endast laglig om den uppfyller vissa villkor. Det finns sex villkor varav minst ett måste uppfyllas:

    1. Personen har lämnat sitt samtycke till behand­lingen.
    2. Behand­lingen är nödvändig för att fullgöra ett avtal.
    3. Behand­lingen är nödvändig för att fullgöra en rättslig förplik­telse.
    4. Behand­lingen är nödvändig för att skydda viktiga intressen för den berörda personen eller en annan fysisk person.
    5. Behand­lingen är nödvändig för att utföra en uppgift av allmänt intresse eller myndig­hets­in­tresse.
    6. Behand­lingen är nödvändig för ändamål som rör den person­upp­gifts­an­sva­riges berättigade intressen.
    Hoppa till innehåll

    Fyra av de sex villkoren är relevanta för företag. En laglig grund för att behandla data för Webfleet kan exempelvis vara samtycke. Observera att dataskydds­för­ord­ningen inte kräver eller rekom­men­derar samtycke under alla omstän­dig­heter, särskilt i anställ­nings­för­hål­landen. Person­upp­gifter får användas utan samtycke i den utsträckning det är nödvändigt för att fullgöra ett avtal med motparten. Det kan också vara att det finns en särskild lag som kräver användning av person­upp­gifter. I dessa fall behövs inget samtycke.

    Enligt punkt 6 ovan anger förord­ningen också att person­upp­gifter kan behandlas utan att fråga om samtycke när du har ett berättigat intresse att göra det. Vanligtvis handlar det om att utreda bedrägerier, missbruk, säker­hets­problem och verksam­hets­a­nalys. Det kan också gälla arbets­miljön och situationer som inte omfattas av anställ­nings­av­talet, till exempel de olika ändamålen för vilka fordon­ste­le­matik används. I dessa fall tycker vi ändå det är bäst att behandla så lite uppgifter som möjligt för ändamålet (för att minimera inverkan på personens sekretess) och se till att datain­sam­lingen följer dataskydds­för­ord­ningen.

  2. Individens rätt till tillgång, korrigering, klagomål, radering och datapor­ta­bi­litet

    Dataskydds­för­ord­ningen ger individer vissa rättigheter när deras person­upp­gifter behandlas. Individer har rätt att ta del av och få ut de person­upp­gifter som rör honom eller henne. Om uppgifterna är felaktiga kan de begära korrigering. Individerna har också rätt att få uppgifterna i ett maskin­läsbart format samt att radera uppgifterna om de erhölls och användes efter samtycke eller för att fullgöra ett avtal.

  3. Skydda konfi­den­ti­a­litet, integritet och tillgäng­lighet med lämpliga säker­hets­åt­gärder

    Person­upp­gifter ska skyddas enligt dataskydds­för­ord­ningen. Det innebär att uppgifterna ska vara skyddade mot obehörig och olaglig tillgång, användning och förlust. Enligt dataskydds­för­ord­ningen ska det ske utifrån en bedömning av lämplig säker­hetsnivå som medför löpande tekniska och organi­sa­to­riska åtgärder. Det här är de tekniska och organi­sa­to­riska åtgärder som måste vidtas och upprätt­hållas i det syftet.

Person­upp­gifts­bi­trädets och den person­upp­gifts­an­sva­riges roller enligt dataskydds­för­ord­ningen.

På Webfleet, hjälper vi kunderna att komma närmare sina förare.

Som person­upp­gifts­bi­träde agerar vi på instruktion från våra kunder för att samla in information om fordon och förare när vi erbjuder våra vagnparks­han­te­rings­tjänster via vår hårdvara. Vi behandlar infor­ma­tionen och presenterar den i våra appar, webbaserade använ­dar­gräns­snitt och API:er.

Ändamålet med behand­lingen av uppgifterna enligt föreskrif­terna i dataskydds­för­ord­ningen.

  1. Våra kunder använder våra produkter för vagnparksop­ti­mering. Här är några exempel på använd­nings­om­råden och ändamål:
    • Spåra fordon
    • Körbeteende och bräns­le­be­spa­ringar
    • Förar­kom­mu­ni­kation
    • Färdskrivare och återstående körtid
    • Omfattande hante­rings­rap­por­tering för verksam­hets­op­ti­mering
    • Integrering av lösningar från tredje part
  1. Vilka uppgifter samlar vi in och behandlar för våra kunders räkning?
    • Trans­ak­tionsdata: Data som skapas genom att använda våra produkter, särskilt enheter.
    • Använ­dar­han­terad data och skapat innehåll: Data som skapas av användare av produkter från Webfleet.
    • Sammanlagd data: Data som härrör från trans­ak­tionsdata genom att använda statistisk analys.

När vi interagerar med våra kunder, till exempel genom att samla in person­upp­gifter på vår webbplats, är Webfleet person­upp­gifts­an­svarig för uppgifterna.

Dataskydd och dataskydds­för­ord­ningen hos Webfleet,.

Här på Webfleet har vi studerat dataskydds­för­ord­ningen och vad den kommer att innebära sedan 2012 när de första utkasten publi­ce­rades. Den har blivit en väsentlig del av hur vi har utvecklat våra telema­tik­lös­ningar för våra kunder under de senaste åren. För oss är dataskydds­för­ord­ningen en evolution, inte en revolution. För att underlätta har vi tagit fram fem grund­läg­gande design­prin­ciper:

Webfleet design­prin­ciper för databe­handling:

  1. Det är Webfleet-kunden som styr

    Webfleet agerar alltid på instruktion från Webfleet-kunden. Uppgifterna gäller endast kunden. Kunden bestämmer. Det innebär att vi erbjuder kunden en mycket konfi­gu­rerbar lösning. Vi kan föreslå olika ändamål för vilka uppgifterna kan användas, men Webfleet-kunden fattar det slutgiltiga beslutet om för vilka ändamål de används och hur du konfi­gu­rerar och använder systemet i detalj.

  2. Respekt för andra intres­senters intressen

    Vårt system går att konfigurera för att tillgodose många olika intres­senter med olika roller, ansvar och kapaciteter i olika situationer. Webfleet-kunder kan till exempel låta förare skilja mellan affärsresor och privata resor och förarnas överordnade kan få begränsad förmåga att se och påverka. Vi hjälper också Webfleet-kunden att beakta indivi­dernas rättigheter, till exempel att ha tillgång till och kunna radera uppgifterna.

  3. Lagrings­mi­ni­mering

    Webfleet-kunder kan på olika sätt konfigurera vilka uppgifter som samlas in och hur länge de ska lagras. För att underlätta för Webfleet-kunder har vi gjort rimliga standardin­ställ­ningar som stämmer med hur de flesta Webfleet-kunder använder sin vagnpark, men det går självklart att ändra standardin­ställ­ningarna.

  1. Allt kräver tydliga förkla­ringar

    Vi förespråkar att alla ska förstå hur deras uppgifter används. Därför har vi tagit fram online­hand­böcker och utbild­nings­ma­terial på ett enkelt och lättför­stå­eligt språk.

  2. Motverka missbruk

    Vi lägger stor vikt på infor­ma­tions­sä­kerhet på Webfleet,. Vår säkerhet utvärderas och certifieras årligen av en tredje part. Det bästa sättet att hantera en dataläcka är att inte låta den inträffa. Olyckor har tråkigt nog en tendens att inträffa förr eller senare. Därför har Webfleet som mål att ha ett gediget svar på incidenter, vilket inkluderar att meddela dig omgående och samarbeta mot en lösning.

wf gdpr whitepaper

Hämta Bästa praxis-guiden för Telematics gällande GDPR

wf gdpr whitepaper

En omfattande guide till bästa praxis gällande dataskydds­för­ord­ningen och Telematics, med en användbar åtgärdsplan som hjälper dig i processen med att efterleva reglerna.

Ladda ner guide

Mer information om dataskydds­för­ord­ningen.

Tveka inte att kontakta oss här om du har fler frågor om dataskydds­för­ord­ningen.

Läs mer om dataskydds­för­ord­ningen på Europeiska kommis­sionen och ICO (Information Commis­sioners Office) via länkarna nedan:

Mer information om Webfleet, dataskydd, säkerhet och sekretess.

På Webfleet, jobbar vi för att säkerställa skydd för information och datasek­retess. Vi investerar löpande i teknik, processer och personal så att vi alltid kan ge dig de mest tillför­litliga telema­tik­tjäns­terna på marknaden.

Som en av världens största leveran­törer av telema­tik­tjänster är det viktigt att vi löpande investerar i våra tjänster. Vi genomför ständiga förbätt­ringar för att se till att vi är den bästa partnern för din verksamhet – nu och i framtiden. Mer information om datasek­retess på Webfleet-tjäns­te­platt­formen hittar du här.

FRISKRIVNING: Infor­ma­tionen på Webfleet-webb­platsen är endast avsedd i infor­ma­tions­syfte och uttrycker vår syn på ämnet. Infor­ma­tionen bör inte betraktas som juridisk rådgivning. Infor­ma­tionen på vår webbplats kanske inte heller återspeglar de senaste lagänd­ringarna. Du bör inte agera på infor­ma­tionen utan att söka juridisk rådgivning.