Integritet och säkerhet

GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU som kommer bli en lag i alla EU:s medlemsländer från 25 maj 2018. GDPR kommer ersätta den nuvarande lagen Personuppgiftslagen (PUL). Lagen är till för att skydda individers integritet och avser att modernisera, harmonisera och förstärka skyddet inom EU.

Inom varje EU-medlemsland finns en tillsynsmyndighet som kommer kontrollera detta. I Sverige heter denna myndighet Integritetskyddsmyndigheten, tidigare Datainspektionen. På deras hemsida finns mer information och hjälp som du kan ta del av för att ta reda på vad du behöver göra. https://www.datainspektionen.se/dataskyddsreformen/

Behandling av personuppgifter

Lagen handlar om hur du ska behandla personuppgifter, vilket är två viktiga begrepp att förstå. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att du genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.

Känsliga personuppgifter

Det finns en speciell kategori av personuppgifter som lagen tar upp och som du som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv. Utgångspunkten är att det är förbjudet att behandla dessa personuppgifter, men det finns ett antal undantag. I Sverige pågår en utredning kring dessa uppgifter och de ser över att ta fram en kompletterande svensk lagstiftning. Läs mer om känsliga personuppgifter här.

Personuppgiftsansvarig och personuppgiftsbiträde

I behandlingen av personuppgifter finns det framförallt två roller som du bör känna till och beroende på vilken roll du har finns det olika ansvarsområden. Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa den personuppgiftsbiträdes efterlevnad. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna.

Ansvarig och biträde för uppgifter i TellusTalks tjänster

All behandling av personuppgifter i tjänsterna är du som kund personuppgiftsansvarig för. TellusTalk är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. TellusTalks tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.

TellusTalk som personuppgiftsansvarig

All behandling av personuppgifter om dig som kund eller användare är vi personuppgiftsansvariga över när du beställer TellusTalks tjänster eller på annat vis kontaktar oss. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.

Grundläggande principer i GDPR

Lagen bygger på 7 grundläggande principer:

• Laglighet, korrekthet och öppenhet
• Ändamålsbegränsning
• Uppgiftsminimering
• Korrekthet
• Lagringsminimering
• Integritet och konfidentialitet
• Ansvarsskyldighet

Vad de grundläggande principerna innebär kan du läsa om på Integritetsskyddsmyndighetens hemsida.

Rättsliga grunder

I uppfyllnad av principen om laglighet, korrekthet och öppenhet behöver du ha stöd i dataskyddsförordningen för att behandlingen av personuppgifter ska vara tillåten. Dessa rättsliga grunder handlar om att du behöver ha ett samtycke, avtal, rättslig förpliktelse, grundläggande intressen, allmänt intresse, myndighetsutövning eller intresseavvägning för att få behandla personuppgifter.

Rättslig grund för uppgifter i TellusTalks tjänster

Vilka rättsliga grunder som finns för behandlingen av personuppgifter i TellusTalks tjänster måste du som personuppgiftsansvarig ta reda på och dokumentera. Det kan variera från fall till fall beroende på verksamhet, vilka lagar ni behöver följa, om ni samlar in uppgifter som krävs eller som kan vara bra att ha.

Ostrukturerat material

I PUL har vi i Sverige haft en undantag där vi inte behövt tänka på hur personuppgifter behandlas, detta undantag heter “Missbruksregeln”. Det har inneburit att vi har kunnat haft personuppgifter i så kallat ostrukturerat material, vilket är löptext och fritext som exempelvis dokument, e-post, hemsidor eller anteckningsfält i system. Missbruksregeln försvinner nu i och med GDPR och innebär att du behöver kartlägga vilka personuppgifter som finns i allt ostrukturerat material och behöver börja hantera detta på samma sätt som med strukturerat material.

TellusTalk som personuppgiftsbiträde har ansvaret för de tekniska och organisatoriska säkerhetsåtgärderna i och kring TellusTalks tjänster. Det innebär att vi ska se till att det finns den säkerhet som behövs exempelvis krypterad lagring, behörighetsstyrning, möjlighet att kunna göra registerutdrag och radera personuppgifter. När det inte finns funktioner i administratörsinloggningen för att hantera personuppgifterna har vi interna rutiner för detta. De åtgärder som TellusTalk vidtar beskrivs närmare nedan

Autentisering och kryptering

All datakommunikation sker med Transport Layer Security (TLS). För att få tillgång till Tjänsterna krävs inloggning med användarnamn och lösenord.

• TellusTalk använder krypterad kommunikation i form av TLS. All datakommunikation till och från Användarens datorer krypteras med TLS, den senaste godkända Internetstandarden för krypterad kommunikation.
• TellusTalk tillämpar lösenordsskydd i form av att inloggningsförfarandet är helt krypterat, vilket innebär att ingen information skickas som okrypterad text. Användarens lösenord lagras i envägskrypterat format (med ett standardiserat envägschiffer).
• För att undvika att obehöriga får tillgång till information om en dator lämnas obevakad, loggar systemet automatiskt ut Användaren vid inaktivitet. Kunden står alltid för risken vid obehörig användning av Tjänsterna som följd av att Användaren lämnat en inloggad dator obevakad.
• Det sker kontinuerlig verifiering av användare. Varje anrop till TellusTalk servrar innebär en kontroll av den inloggades behörighet.

Lagring och backuper

TellusTalks Tjänster driftas helt inom EU på Googles molntjänst (App Engine) samt virtuella mailservrar hostade i Sverige och inom EU.

• Endast godkänd personal har tillgång till plattformen.
• TellusTalks Tjänster bygger på en modern plattform med redundans och skalbarhet i flera nivåer.
• Backuper görs automatiskt på förutbestämda intervaller.

Kunskaps- och informationsskydd

• Endast ett fåtal nyckelpersoner känner till hur säkerhetssystemet är uppbyggt.
• All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av TellusTalks IT-avdelning.

Få notiser om tjänsternas status

På TellusTalk jobbar vi hårt för att våra system skall vara tillgängliga alla timmar om dygnet och alla dagar i veckan för att du som kund skall kunna jobba när som helst. Kontakta oss för att anmäla dig till mailutskicket för att automatiskt få notiser om problem med våra tjänster.

I GDPR finns det ett nytt krav vid personuppgiftsincidenter, vilket är att incidenter behöver rapporteras till Integritetsskyddsmyndigheten inom 72 timmar. För att kunna uppfylla de nya skyldigheterna enligt förordningen är det viktigt att ha tillräckliga rutiner på plats för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter.

Incident

Om en programrelaterad incident inträffar kan det innebära att det blir en personuppgiftsincident. Ett problem i TellusTalks tjänster som genererar felaktig data eller saknad data kategoriseras som en tjänsterelaterad incident. Skulle denna data innehålla personuppgifter blir det även en personuppgiftsincident. Det kan också bli en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna.

Incidentprocess

TellusTalk har ett incidentteam som sköter nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Beroende på incidentens karaktär och påverkan involveras de personer som krävs för att hantera incidenten. Processen för hanteringen är grunden för flödet som med kompletterande rutiner tydliggör vem som gör vad och hur situationen ska hanteras. Processen är indelad i delprocesserna Identifiering av incident, Konsekvensanalys, Åtgärdsprocess, Kommunikation och Root Cause Analysis (RCA)

Vid identifieringen av incident sker en identifiering av vilken typ av incident det är frågan om. I delprocessen Konsekvensanalys sker en analys över omfattningen, vilka kunder och användare som påverkas av incidenten och vad konsekvenserna blir. I Åtgärdsprocessen sker bedömning och prioritering av problemet för att säkerställa åtgärdsplan samt verkställandet av åtgärden. Vid en personuppgiftsincident är sammanställning av rapport en aktivitet, där vi utgår ifrån Integritetsskyddsmyndighetens mall som beskriver att vi ska ha med information om:

• Vilken typ av incident det är fråga om
• Vilka kategorier av personer som kan komma att beröras
• Hur många personer det berör
• Vilka konsekvenser incidenten kan få
• Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser.

 

Incident och åtgärder kommuniceras ut till berörda som drabbats. Vid personuppgiftsincident finns anmälan till Integritetsskyddsmyndigheten som en aktivitet i denna delprocess. Efter att åtgärder är genomförda och berörda har blivit informerade genomförs en  Root Cause Analysis i syfte att förhindra att problemet uppstår igen.

På www.tellustalk.com kan du anmäla dig till mailutskicket för att automatiskt få notiser om problem med våra tjänster.

Denna text beskriver TellusTalks behandling av personuppgifter och den hjälper dig att fatta ett välgrundat beslut angående din relation till oss. Vi avhandlar följande tre viktiga punkter:

1. Vi vill tydliggöra ansvaret för att skydda dina rättigheter och din integritet.
2. Vi förklarar hur vi använder de personuppgifter du delar med oss, för att vi ska kunna erbjuda dig TellusTalks tjänster och ge dig bästa möjliga upplevelse av dem, hemsidan och när du är i kontakt med oss.
3. Dokumentet ska ge dig förståelse för vilka uppgifter vi samlar in och vad vi gör – respektive inte gör – med dem.

Parter och ansvar för behandlingen av dina personuppgifter

TellusTalk AB, 556429-8213, Kungsgatan 37, 8 tr, 111 56 Stockholm, är tjänsteleverantör av elektroniska meddelandetjänster, som nedan kallas “Tjänsten”. TellusTalk är personuppgiftsbiträde för behandling av dina personuppgifter i Tjänsten och har då ansvar för de organisatoriska och tekniska säkerhetsåtgärder som finns beskrivet längre under ”Detta behöver du tänka på”. Personuppgiftsansvarig för behandlingen av dina uppgifter i Tjänsten är “Kunden” som är det registrerade bolaget hos TellusTalk, vilket kan vara statliga verk, myndigheter, privata företag och föreningar. Du som är användare och har egna inloggningsuppgifter till Tjänsten kallas nedan för “Användaren”. I Tjänsten finns rollen “Systemadministratör” som är företrädare för Kunden i Tjänsten med ansvar att lägga upp användare och andra systemadministratörer, tilldela rättigheter och ge instruktioner till TellusTalk avseende behandlingen av data, inkl. personuppgifter i Tjänsten.

TellusTalk är personuppgiftsansvarig för behandlingen av de personuppgifter som du delar med oss när:

• du beställer Tjänsten
• du får inloggningsuppgifter och blir användare av Tjänsten
• du har en fråga och/eller kontaktar oss
• du besöker vår hemsida och accepterar cookies

Vilka personuppgifter behandlar vi om dig?

Vilka personuppgifter som behandlas varierar beroende på vilken företagsform du har. Företagsuppgifter kan bli personuppgifter för Kund som är en enskild firma. När du beställer Tjänsten samlar vi in dina kontaktuppgifter och företagsuppgifter. Alla användare har registrerade kontaktuppgifter och inloggningsuppgifter hos oss för att kunna använda Tjänsten. När du använder TellusTalks tjänster kan du komma att ladda upp bilder i Tjänsten, som då kommer att behandlas av oss. Har du en fråga eller kontaktar oss gällande något annat ärende kan mängden personuppgifter och vilka det är variera beroende på vilken kommunikationskanal som används. Kategorier av personuppgifter är oftast kontaktuppgifter, företagsuppgifter samt ärendet i sig som ostrukturerat material, vilket innehåller de personuppgifter du valt att dela med oss. En detaljerad lista över vilka personuppgifter som förekommer inom de olika kategorier, vid vilka tillfällen och vilken laglig grund behandlingen baseras på, finns i bilaga 1. Information om vad cookies är och hur vi hanterar cookies finns beskrivet nedan under Cookies.

Varför behandlar vi dina personuppgifter?

TellusTalk samlar in dessa personuppgifter om dig som användare och kund för att kunna tillhandahålla Tjänsten, fullgöra åtaganden gentemot dig enligt avtal, samt ge dig bästa möjliga upplevelse av både Tjänsten och vår hemsida. Det behövs för att vi ska kunna identifiera dig, administrera ditt konto, för statistiska ändamål och för direktmarknadsföring (vilket du kan avregistrera dig från). De personuppgifter som samlas in vid beställning behövs för att hantera ordern, fakturera och skicka inloggningsuppgifter till dig. Alla användares personuppgifter behövs för att kunna ge dig tillgång till Tjänsten, för att du ska kunna använda Tjänsten, kunna skapa en behandlingshistorik åt dig som kund, kunna identifiera dig samt veta vilka användare och kunder som använder Tjänsten. När du kontaktar oss via någon av TellusTalks kommunikationskanaler används informationen om dig för att kunna hantera ärendet, kunna kontakta dig och bidrar till att förbättra vår service genom att spara ärendet vid återkommande frågor. Besöker du TellusTalks hemsida samtycker du till cookies för behandlingen av dina uppgifter.

Vilka delar vi personuppgifter med?

I användningen av vissa tjänster kan vi komma att dela personuppgifter med underleverantörer till TellusTalk både inom och utanför EU/EES. En fullständig översikt avseende mottagare och platser för respektive behandling av personuppgifter i Tjänsten, finns tillgänglig nedan, under Detta behöver du tänka på. Leverantörerna har motsvarande skyldigheter gällande behandlingen av personuppgifter som du som kund avtalat med oss och framgår av Personuppgiftsbiträdesavtalet. Vi kan behöva dela personuppgifterna med andra bolag inom koncernen för att vi ska kunna tillhandahålla Tjänsten och fullfölja våra åtaganden gentemot dig. Vi delar personuppgifter om användare och kunder mellan bolagen inom koncernen när du har ett ärende till oss, om informationen behövs för att kunna hjälpa dig.

Hur länge sparar vi dina personuppgifter?

TellusTalk sparar personuppgifter om dig som kund så länge det finns en kundrelation eller är nödvändigt för att uppnå de ändamål som beskrivs i denna policy. Vid avtalets upphörande kommer TellusTalk radera alternativt anonymisera dina uppgifter inom en rimlig tid efter uppsägning, om inte annan svensk eller europeisk lag, domstol eller myndighet säger något annat. Dina uppgifter kan sparas baserat på intresseavvägning om det finns säkerhets- eller ekonomiska skäl. Hur länge dina personuppgifter som användare lagras hos oss varierar beroende på syftet till att de samlats in. Uppgifter i Tjänsten raderar systemadministratören, men vid de fall det inte finns en teknisk funktion för radering behöver din systemadministratör kontakta oss. Uppgifter som samlas in när du kontaktar oss lagras så länge du är kund hos oss för att fullgöra vårt åtagande. Vid avslutad kundrelation kan vi lagra det baserat på intresseavvägning som bevismaterial ifall det skulle uppstå problem. Lagringen begränsas då till ett system och med kontrollerad behörighetsstyrning.

Vilka rättigheter har du?

Du som registrerad hos TellusTalk har flera rättigheter som du bör känna till. Du har rätt att kostnadsfritt en gång per år, förutsatt att du har berättigade skäl, begära ett registerutdrag över vilken information som finns registrerad om dig. Du har i vissa fall även rätt till dataportabilitet av personuppgifterna. Du har rätt till att få dina personuppgifter korrigerade om de är felaktiga, ofullständiga eller missvisande och rätt att begränsa behandlingen av personuppgifter tills de blir ändrade. Du har rätten att bli glömd, men radering av personuppgifter kan inte ske om det krävs för att fullgöra avtalet eller om annan svensk eller europeisk lag, domstols- eller myndighetsbeslut säger annat, samt om det baseras på intresseavvägning. Skulle du tycka  att det inte finns berättigade skäl eller att intresseavvägningen är felaktig har du rätt att invända mot behandlingen. Du har också rätt att dra in ett samtycke, lämna klagomål om behandlingen till Datainspektionen, motsätta dig automatiskt beslutsfattande, profilering och invända direktmarknadsföring.

Om du vill veta mer

Har du frågor om denna policy och behandlingen av dina personuppgifter, vill radera eller ändra felaktiga uppgifter kan du kontakta oss genom de kontaktuppgifter som finns på TellusTalks hemsida.

---

Bilaga 1

Kategorier av personuppgifter

När	Kategori av uppgifter	Personuppgifter	Laglig grund
Beställning av Tjänst	Företagsuppgifter	Organisationsnummer Företagsnamn Adress Postnummer Ort	Fullgöra våra kontraktuella åtaganden gentemot dig
	Kontaktuppgifter	Förnamn Efternamn E-post Telefon	Fullgöra våra kontraktuella åtaganden gentemot dig
Användare av Tjänsten	Kontaktuppgifter	Förnamn Efternamn E-post	Fullgöra våra kontraktuella åtaganden gentemot dig
	Inloggningsuppgifter	Användarnamn	Fullgöra våra kontraktuella åtaganden gentemot dig

När	Kategori av uppgifter	Personuppgifter	Laglig grund
Kontakt via hemsidan	Kontaktuppgifter	E-post Telefonnummer Användar-ID	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
	Företagsuppgifter	Organisationsnummer	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
	Ärendeuppgifter	Meddelande i löptext*	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning

*Innehåller de personuppgifter du valt att ange.

När	Kategori av uppgifter	Personuppgifter	Laglig grund
Kontakt via mejl	Kontaktuppgifter	Namn E-post Användar-ID Telefonnummer (kan förekomma)	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
	Företagsuppgifter (kan förekomma)	Företagsnamn Organisationsnummer	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
	Ärendeuppgifter	Meddelande i löptext*	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
Kontakt via telefon	Kontaktuppgifter	Namn E-post Användar-ID Telefonnummer	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
	Företagsuppgifter (kan förekomma)	Företagsnamn Organisationsnummer	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning
	Ärendeuppgifter	Anteckningar i löptext	Fullgöra våra kontraktuella åtaganden gentemot dig och intresseavvägning

*Innehåller de personuppgifter du valt att ange.

TellusTalks hemsidor, tellustalk.com och elektronisksignering.se, och tjänstesidorna innehåller så kallade Cookies. Cookies är en liten textfil som placeras på datorn av en webbserver och fungerar som ett ID-kort. Cookies möjliggör att hemsidan kommer ihåg viktig information som gör ditt besök på hemsidan bekvämare. Liksom de flesta andra hemsidor, använder TellusTalk cookies för att förbättra din internetupplevelse på följande sätt:

• Du har loggat in på tjänsten och skall därigenom slippa logga in på varje ny sida du besöker inom tjänsten.
• Anpassa våra tjänster efter de användarpreferenser du angivit.
• Räkna antalet användare och trafik. Genom att förstå hur webbplatsen används kan vi utveckla och förbättra den.
• Anpassa våra tjänster så att du får information som är relevant för dig.
• Samla in och analysera beteendedata baserat på användning av webbplats och tjänster i syfte att förbättra användarupplevelsen och även möjliggöra individanpassad kommunikation och budskap till användaren.

På TellusTalks tjänstesidor, som är helt åtskild från hemsidorna, används enbart så kallade Session Cookies. Under tiden en besökare är inne på en webbsida, lagras den temporärt i minnet i besökarens dator. Session Cookies försvinner när du stänger din webbläsare.
På TellusTalks hemsidor används både Session Cookies och tredjepartscookies för bland annat Google Analytics och Remarketing. Syftet är att förstå hur vår sida används och kunna förbättra den, samt att kunna göra riktad reklam.

Om du inte vill ta emot cookies kan du i din webbläsare ändra inställningar för cookies, och du kan även spärra cookies. Observera att om du spärrar cookies kommer du inte kunna använda alla funktioner på TellusTalk hemsida.

Du som kund har ett flertal saker som du behöver tänka på gällande behandling av personuppgifter i TellusTalks tjänster där du är personuppgiftsansvarig och bestämmer ändamål och medlen.

Behandling av personuppgifter i TellusTalks tjänster

TellusTalk är tjänsteleverantör och personuppgiftsbiträde för behandlingen av personuppgifter i TellusTalks tjänster. Det är du som personuppgiftsansvarig som behöver veta vilka uppgifter du samlar in, varför och hur länge du ska ha kvar dessa uppgifter i tjänsten. Vilka personuppgifter som kommer att behandlas av dig i TellusTalks tjänster vet bara du. Om det är en privatpersons eller enskild firmas uppgifter som då blir personuppgifter eller ett aktiebolags uppgifter vet bara du.

Känsliga personuppgifter i TellusTalks tjänster

Vilka känsliga personuppgifter som kommer att behandlas av dig i TellusTalks tjänster vet bara du. Om du till följd av den verksamhet som du, dina kunder eller leverantörer bedriver kommer att behandla känsliga personuppgifter är du skyldig att innan sådan behandling påbörjas ta reda på vilka säkerhetsåtgärder som kan komma att krävas vid sådan behandling. Integritetsskyddsmyndigheten skriver mer om behandling av känsliga personuppgifter här.