Den 25 maj 2018 träder den nya dataskyddsförordningen i kraft. Denna EU-förordning, som även är känd som “GDPR” (en akronym för “General Data Protection Regulation”), leder till en del förändringar jämfört med den föregående lagstiftningen i form av personuppgiftslagen (PUL). Effekterna av den nya regleringen är positiva i den bemärkelsen att privatpersoner ges ett stärkt skydd. Vi vill härmed ta tillfället i akt att förtydliga hur hanteringen av personuppgifter på fil fungerar, och särskilt vad du som projektägare bör tänka på. Allt för att våra investerare ska känna sig trygga när deras personuppgifter hanteras.

Ny reglering om hur ett företag ska hantera personuppgifter träder i kraft 25 maj 2018 och innebär en hel del förändringar jämfört med tidigare lagstiftning. Detta har gjort ett stort antal europeiska företag minst sagt nervösa. I vilken ände ska man börja nysta i detta nya regelverk? Många är också de företag som tar lätt på GDPR:s omfattning och dess påverkan på den egna verksamheten. På Tessin, däremot, har vi tidigt identifierat vad vi behöver göra för att du och dina personuppgifter ska vara trygga och hanteras på ett regelrätt sätt, även när de hanteras av en projektägare.

Personuppgiftsbiträdesavtal

Det har även redan i PUL föreskrivits att om ett företag anlitar ett annat företag, till exempel en molntjänstleverantör, för att hantera personuppgifter för det förstnämnda företagets räkning, ska det finnas ett personuppgiftsbiträdesavtal. Sådana anlitade tredje parter kallas nämligen för “personuppgiftsbiträden” (“processor” på engelska), eftersom de biträder den personuppgiftsansvariga (det första företaget i detta exempel, eftersom det styr över hur personuppgifterna används). I detta exempelfall är det alltså molntjänstleverantören som är personuppgiftsbiträdet.

Däremot har GDPR medfört ökade skyldigheter för personuppgiftsbiträden, nämligen att denne har ett större ansvar för personuppgifternas säkerhet och konfidentialitet än tidigare. Därför har det också blivit viktigare än tidigare för ett företag och ett personuppgiftsbiträde att noggrant formulera personuppgiftsbiträdesavtalet och vad biträdets hantering av personuppgifter ska bestå av.

Genom avtalet regleras främst vilka personuppgifter som personuppgiftsbiträdet ska/får hantera, hur personuppgifterna ska hanteras och om personuppgiftsbiträdet i sin tur får anlita en tredje part till hanteringen av personuppgifterna (ett ytterligare personuppgiftsbiträde).

Enligt GDPR har medlemmar bland annat rätt att begära att vi på Tessin raderar sådana personuppgifter som vi behandlar, eller att begära att vi lämnar ut dessa personuppgifter direkt. I GDPR föreskrivs därför att personuppgiftsbiträdesavtalet ska reglera att personuppgiftsbiträdet på den personuppgiftsansvariges instruktion ska återlämna eller radera de personuppgifter som den personuppgiftsansvarige (företaget) begär i enlighet med din begäran.

Vad du som är projektägare måste tänka på

En projektägare som har anlitat Tessin för att finna investerare måste också rannsaka vilka personuppgifter denne hanterar och särskilt identifiera på vilka platser personuppgifterna förvaras. Detta regleras i det personuppgiftsbiträdesavtal som upprättas mellan Tessin och projektägaren. Främst rör det sig om investerarlistor med kontakt- och betalningsuppgifter till de investerare som deltagit i finansieringen av projektet.

Sådana personuppgifter som Tessin delar med dig som projektägare förvaras ofta på flera platser på ditt håll. Dels förvaras de på din e-postklient när investerarlistan mottas från Tessin, och dels förvaras den på din hårddisk och/eller hos den molnleverantör som du väljer att använda för att förvara filer.

Du måste således tillse att hanteringen av personuppgifterna är säker och att du förvaltar investerarlistan på ett tryggt sätt. Detta inkluderar även att när projektet är slutfört och återbetalt, ska du permanent radera eller anonymisera samtliga personuppgifter som du hanterar.

För att kunna åstadkomma en permanent radering, måste du alltså hålla koll på alla platser där filen finns. Utöver att förvaras på din hårddisk eller inkorg, kommer den, när du klickar på “radera”, att först landa i din papperskorg. Men problemet är att filen kan återställas till sitt ursprungliga skick från papperskorgen och är således inte permanent raderad. Alltså måste du också tömma papperskorgen (ett andra steg), för att tillse att filen verkligen är raderad.

Om du som projektägare också använder en molntjänst för förvaring, såsom Dropbox eller Google Drive, innebär det också att filen, utöver att hamna i papperskorgen på din dator, också kan landa i ett arkiv på ditt molntjänstkonto när du tar bort filen. Du måste då också säkerställa att filen faktiskt är borttagen på permanent basis.

Sammanfattningsvis måste du alltså i praktiken radera samma fil flera gånger (först från hårddisk, sedan från papperskorgen, samt först från inkorgen och sedan från papperskorgen i e-postklienten). Då är det också särskilt viktigt att du har koll på samtliga platser där du förvarar din investerarlista, det vill säga i både din inkorg och på din hårddisk/molntjänst. På Tessin hänger vi stor omsorg till att trygga våra medlemmars integritet och deras personuppgifter, och vi förväntar oss att du som projektägare också hjälper till.