GDPR i Spiris

Här hittar du info om GDPR (Dataskyddsförordningen) när du använder Spiris. Har du andra funktioner eller kopplingar så behöver du kolla hur GDPR påverkar dem också.

Alla företag som hanterar personuppgifter och är verksamma inom EU måste följa dataskyddsförordningen GDPR (General Data Protection Regulation). Det innebär att du som företagare ansvarar för att dina kunders, anställdas och leverantörers personuppgifter hanteras på ett säkert sätt.

Grundprinciper för GDPR:

  • Du får bara behandla personuppgifter om du uppfyller kraven i lagen.
  • Du får bara samla in personuppgifter för ett angivet syfte.
  • Du får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
  • Har du personuppgifter måste du hålla dem korrekta och uppdaterade.
  • När syftet är uppnått ska uppgifterna tas bort.
  • Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.

  • Du ska kunna bevisa att din hantering av personuppgifter uppfyller villkoren enligt GDPR.

spiris.se hittar du mer allmän information om vad GDPR är.

Här kan du läsa mer om vad du behöver göra för att uppfylla kraven för personuppgiftshantering enligt GDPR när du arbetar i Spiris.

Enligt lagen är du skyldig att informera de du samlar in personuppgifter om att du gör det och vad syftet är. Den du samlat in personuppgifter om har rätt att begära att få tillgång till uppgifterna du har registrerat. I Spiris finns det uppgifter om användare.

Hur du tar fram personuppgifter i respektive register beskrivs nedan.

Det enklaste sättet att redovisa de uppgifter du har registrerade om en enskild anställd är att gå till Spiris - Användare och tjänster och öppna redigeringsläget. Ta en bild av det som visas på skärmen. Skicka bilden till din användare.

Du får bara lagra personuppgifter så länge som de behövs för att uppfylla det syfte som du angav när uppgifterna samlades in. Därefter ska uppgifterna tas bort. Du bör därför regelbundet kontrollera att de personuppgifter du har lagrade är uppdaterade och fortfarande används enligt syftet.

Den du lagrat personuppgifter om kan också begära att du tar bort de uppgifter du har sparade. Notera att bokföringslagen gäller över GDPR och att bokföringsunderlag som innehåller personuppgifter därmed ska sparas i 7 år.

Radera eller avidentifiera

Spiris kan du ta bort en användare. Har du användare som inte går att radera, men där personuppgifterna inte ska sparas längre, får du istället avidentifiera dem.

För att avidentifiera en användare öppnar du den i redigeringsläge och ersätter uppgifterna med *****. Om du behöver radera en e-postadress kan du kontakta vår support.

Du kan även välja att inaktivera en användare. Då raderas inte de personliga uppgifterna men informationen kommer inte att vara synlig. Läs mer i Inaktivera användare.

Som företagare för du ibland över personuppgifter till andra, ofta utan att du ens tänker på det. Det kan exempelvis vara till kreditupplysningsföretag, e-handelssystem, fakturerings- eller betallösningar. När sådana så kallade tredjepartsleverantörer tar emot personuppgifter av dig blir de personuppgiftsbiträden.

Du som företagare är personuppgiftsansvarig och är alltid ansvarig för insamlade uppgifter. Det gäller även när uppgifter förts över till en tredjepartsleverantör. I dessa fall krävs ett personuppgiftsbiträdesavtal mellan dig och de tredjepartsleverantörer du har. Läs mer om personuppgiftsbiträdesavtal.

Du jobbar helt molnbaserat vilket innebär att de personuppgifter du registrerar lagras hos oss. Vi räknas i och med detta som en tredjepartsleverantör som behandlar personuppgifter för din räkning. I och med detta behövs ett personuppgiftsbiträdesavtal mellan Spiris och dig. I det avtal som du godkänner innan du får tillgång, ingår ett sådant biträdesavtal.