Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ta en titt på allt innehåll för småföretag på small business-hjälp och utbildning.
Användning av Microsoft 365 för företag hjälper dig att minimera och hantera GDPR-efterlevnad
Allmänna dataskyddsförordning (GDPR) är en EU-förordning som bestämmer hur en organisation ska hantera personuppgifter. Om ditt företag säljer eller tillhandahåller tjänster till Europeiska Unionen eller anställer EU-medborgare så påverkas du av GDPR.
Som administratör för småföretag frågar du förmodligen dig själv "hur kommer jag igång"? Detta kan vara särskilt sant om ditt företag inte hanterar personuppgifter som en grundläggande affärsaktivitet, eller om GDPR är helt nytt för dig.
Du kan komma igång genom att läsa den här artikeln som syftar till att hjälpa dig att förstå vad GDPR är, varför den kom till och hur Microsoft 365 för företag kan hjälpa din organisation att följa GDPR.
Den innehåller också svar på vanliga frågor om GDPR som småföretag kan ha och belyser de steg som ett litet företag kan vidta för att förbereda sig för GDPR.
Viktigt
Microsoft 365-lösningarna och rekommendationerna i den här artikeln är verktyg och resurser som kan hjälpa dig att hantera och skydda dina data, men som inte är en garanti för GDPR-efterlevnad. Det är upp till dig att utvärdera din egen efterlevnadsstatus. Rådgör med dina egna juridiska och/eller professionella rådgivare när det behövs.
En snabb översikt av GDPR
GDPR är en EU-förordning som uppdaterar och utökar det tidigare Dataskyddsdirektivet som antogs 1995. GDPR berör sekretessen för enskilda personers uppgifter, vare sig det är en klient, en kund, en anställd eller en affärspartner. Målet med GDPR är att stärka det personliga dataskyddet för EU:s medborgare, oavsett om de bor i EU eller någon annanstans. I reglerna anges förväntningar och råd om hur du ska uppnå dem. Organisationer måste ha åtgärder på plats som uppfyller kraven i GDPR.
GDPR handlar om data och hur de används. Tänk på data som en livscykel. Cykeln startar när du samlar in data, fortsätter när du lagrar och använder dem (bearbetning) och slutar när du tar bort dem helt från dina system.
GDPR berör följande typer av data:
Personuppgifter: Om du kan länka data till en enskild person och identifiera dem anses dessa data vara personliga med avseende på GDPR. Exempel på personuppgifter är namn, adress, födelsedatum och IP-adress. GDPR anser även att kodad information (även kallad pseudonymiserad information) är personuppgifter, oavsett hur dolda eller tekniska data är, om data kan länkas till en enskild person.
Känsliga personuppgifter Det här är data som tillför ytterligare information till de personliga uppgifterna. Några exempel är religion, medlemskap i fackförening, etniskt ursprung och så vidare. Känsliga personuppgifter inkluderar även biometriska data och dna. Under GDPR har känsliga uppgifter striktare skyddsregler än personuppgifter.
GDPR-villkor
Det finns några återkommande termer som omnämns i GDPR. Det är viktigt att förstå dessa termer.
Medgivande:
GDPR säger: "Behandlingen av personuppgifter bör utformas för att tjäna mänskligheten." GDPR hoppas uppnå detta mål genom att använda medgivande vid bearbetning av personuppgifter. Det kan vara en så enkel handling som att fråga dina kunder om de vill få e-postmeddelanden från företaget. Det innebär också slutet för kryssrutor för avanmälan på din webbplats när du vill använda data till marknadsföring. Du måste ha ett uttryckligt samtycke genom en "entydigt bekräftande handling". Och du behöver även föra register över när ett samtycke ges eller återkallas.
Registrerades rättigheter:
GDPR upprättar rättigheter för den registrerade, vilket innebär att kunder, anställda, affärspartners, klienter, entreprenörer, studenter, leverantörer och så vidare, med avseende på deras personuppgifter, har rätt att:
Informeras om sina uppgifter: Du måste informera enskilda personer om hur du använder deras uppgifter.
Ha åtkomst till sina uppgifter: Du måste ge enskilda personer åtkomst till deras uppgifter som du har sparat (t.ex. genom att använda kontoåtkomst eller på något manuellt sätt).
Be om rättelse av uppgifter: Enskilda personer kan be dig korrigera felaktiga uppgifter.
Be om att uppgifter ska raderas: Även kallat "rätten att bli bortglömd". Enskilda personer har rätt att begära att deras personuppgifter som ett företag har samlat in ska raderas från alla system som använder eller delar dem.
Begära begränsad behandling: En enskild person kan begära att du utelämnar eller begränsar deras uppgifter. Den gäller dock endast under vissa omständigheter.
Ha dataportabilitet: En enskild person kan begära att deras uppgifter överförs till ett annat företag.
Göra invändningar: En enskild person kan göra invändningar mot att deras uppgifter används för olika ändamål, inklusive direkt marknadsföring.
Be om att inte vara föremål för automatiserat beslutsfattande, inbegripet profilering: GDPR har strikta regler för användning av data för profilering av personer och automatiserade beslut baserade på den profileringen.
Steg för att förbereda för GDPR
I det här avsnittet beskrivs de steg som ett litet företag kan vidta för att göra sig redo för GDPR. Mycket av informationen för de här stegen tillhandahölls via Sju steg för företag för att förbereda sig för den Allmänna dataskyddsförordningen, en publikation som tillhandahålls via Europeiska unionens publikationskontor.
Ett bra sätt för ett litet företag att komma igång med GDPR är att se till att tillämpa följande viktiga principer när du samlar in personuppgifter:
- Samla in personuppgifter med tydligt definierade syften för det du använder dem för och använd dem inte för något annat. Om du till exempel ber dina klienter att ge dig sina e-postadresser så att de kan få dina nya erbjudanden eller kampanjer kan du bara använda deras e-postadresser för just det ändamålet.
- Samla inte in mer data än du behöver. Om ditt företag till exempel kräver en postadress för att du ska kunna leverera varor behöver du en kunds adress och ett namn, men du behöver inte känna till personens civilstånd.
Steg 1: Känna till de personuppgifter som du samlar in och använder inom företaget och varför du behöver dem
Som ett litet företag är ett av de första stegen du bör vidta att göra en inventering av de personuppgifter som du samlar in och använder i ditt företag och varför de behövs. Detta omfattar data om både dina anställda och dina kunder.
Du kan till exempel behöva den anställdes personuppgifter baserat på anställningsavtalet och av juridiska skäl (till exempel att rapportera skatter till Skattemyndigheten).
Som ett annat exempel kan du hantera listor över enskilda kunder för att skicka meddelanden om specialerbjudanden, om de har samtyckt till detta.
Microsoft 365-funktioner som kan hjälpa dig i steg 1
Microsoft Purview Information Protection kan hjälpa dig att identifiera, klassificera och skydda känslig information i ditt företag. Du kan använda klassificerare som kan tränas för att hjälpa dig att identifiera och märka dokumenttyper som innehåller personuppgifter.
Steg 2: Informera dina kunder, anställda och andra personer när du behöver samla in deras personuppgifter
Enskilda personer måste känna till att du bearbetar deras personuppgifter och för vilket syfte. Om en kund till exempel behöver skapa en kundprofil för att få åtkomst till ditt företags onlinewebbplats ska du se till att du anger specifikt vad du tänker göra med deras information.
Men det finns inget behov av att informera enskilda personer när de redan vet hur du kommer att använda datan. När de till exempel tillhandahåller en hemadress för en leverans som de beställt.
Du måste också kunna informera enskilda personer på begäran om de personuppgifter som du lagrar om dem och ge dem åtkomst till deras data. Att vara organiserad med dina data gör det enklare att tillhandahålla dem, om det behövs.
Steg 3: Behåll personuppgifter endast så länge det behövs
För anställdas data behåller du den så länge anställningsrelationen finns kvar och för relaterade juridiska skyldigheter. För kunddata behåller du den så länge kundrelationen varar och för relaterade juridiska skyldigheter (till exempel skatteändamål). Ta bort data när de inte längre behövs för de syften som du har samlat in dem för.
Microsoft 365-funktioner som kan hjälpa dig i steg 3
Kvarhållningsprinciper och etiketter kan användas för att skydda personuppgift under en viss tid och ta bort dem när de inte längre behövs.
Steg 4: Skydda de personuppgifter du bearbetar
Om du lagrar personuppgifter i ett IT-system begränsar du åtkomsten till de filer som innehåller data, till exempel med ett starkt lösenord. Uppdatera regelbundet systemets säkerhetsinställningar.
Obs!
GDPR förskriver inte användningen av något specifikt IT-system, men gör att systemet har rätt säkerhetsnivå. Mer information finns i GDPR Artikel 32: Säkerhet för bearbetning.
Om du lagrar fysiska dokument med personuppgifter kontrollerar du att de inte är tillgängliga för obehöriga personer.
Om du väljer att lagra personuppgifter i molnet, till exempel via Microsoft 365, har du säkerhetsfunktioner som möjligheten att hjälpa dig att hantera behörigheter till filer och mappar, centraliserade säkra platser för att spara dina filer (OneDrive- eller SharePoint-dokumentbibliotek) och datakryptering när du skickar eller hämtar dina filer.
Microsoft 365-funktioner som kan hjälpa dig i steg 4
Du kan använda Konfigurera efterlevnadsfunktioner för att skydda ditt företags känsliga information. Efterlevnadshanteraren kan hjälpa dig att komma igång direkt! Du kan till exempel skapa och distribuera principer för dataförlustskydd som använder GDPR-mallen.
Steg 5: Dokumentera dina databehandlingsaktiviteter
Förbered ett kort dokument som förklarar vilka personuppgifter du har och av vilka skäl. Du kan behöva göra dokumentationen tillgänglig för din nationella dataskyddsmyndighet om det behövs.
Sådana dokument bör innehålla den information som anges nedan.
| Information | Exempel |
|---|---|
| Syftet med databearbetning | Varna kunder om specialerbjudanden som att tillhandahålla hemleverans; betalande leverantörer; löne- och socialförsäkringstäckning för anställda |
| Typer av personuppgifter | Kontaktinformation för kunder; kontaktinformation för leverantörer; anställdas data |
| De kategorier av dataobjekten som berörs | Anställda; kunder; leverantörer |
| Mottagarkategorierna | Arbetsmyndigheter; skattemyndigheter |
| Lagringsperioderna | Anställdas personuppgifter tills anställningsavtalet har upphört (och relaterade juridiska skyldigheter); kundernas personuppgifter fram till slutet av klient-/avtalsrelationen |
| De tekniska och organisatoriska säkerhetsåtgärderna för att skydda personuppgifterna | IT-systemlösningar uppdateras regelbundet; skyddad plats; åtkomstkontroll; datakryptering; säkerhetskopiering av data |
| Om personuppgifter överförs till mottagare utanför EU | Användning av en processor utanför EU (till exempel lagring i molnet); dataplats för processorn; avtalsenliga åtaganden |
Du hittar Microsofts avtalsenliga åtaganden avseende GDPR i Microsoft Online Services datasäkerhetstillägg, som tillhandahåller Microsofts sekretess- och säkerhetsåtaganden, databehandlingsvillkor och GDPR-villkor för Microsoft-värdbaserade tjänster som kunder prenumererar på enligt ett volymlicensavtal.
Steg 6: Se till att dina underleverantörer följer reglerna
Om du underkontrakterar bearbetning av personuppgifter till ett annat företag använder du bara en tjänstleverantör som garanterar bearbetningen i enlighet med kraven i GDPR (till exempel säkerhetsåtgärder).
Steg 7: Tilldela någon att övervaka skyddet för personuppgifter
För att bättre skydda personuppgifter kan organisationer behöva utse ett Dataskyddsombud (DPO). Du kanske dock inte behöver utse en dataskyddsombud om bearbetning av personuppgifter inte är en viktig del av ditt företag eller om ditt företag är ett litet företag. Om ditt företag till exempel bara samlar in data om dina kunder för hemleverans bör du inte behöva utse ett DPO. Även om du behöver använda en DPO kan dessa uppgifter tilldelas till en befintlig anställd utöver hans/hennes andra uppgifter. Eller så kan du välja att anlita en extern konsult för den här tjänsten efter behov.
Normalt behöver du inte utföra en konsekvensbedömning avseende dataskydd. Detta är reserverat för företag som utgör en större risk för personuppgifter (till exempel om de utför en storskalig övervakning av ett offentligt tillgängligt område, till exempel videoövervakning).
Om du är ett litet företag som hanterar anställdas löner och en lista över klienter behöver du vanligtvis inte göra en konsekvensbedömning avseende dataskydd.
Vanliga frågor om GDPR för småföretagare
Jag är enskild näringsidkare – behöver jag verkligen bry mig om GDPR?
GDPR handlar om de uppgifter du behandlar och inte om hur många anställda du har. Det påverkar företag av alla storlekar, även de som driver enskild näringsverksamhet. Företag med färre än 250 anställda har emellertid vissa undantag, såsom reducerad registerföring, men bara om du är säker på att databehandlingen inte påverkar de enskildas rättigheter och är tillfällig behandling.
Till exempel kan bearbetning av andra data än personuppgifter undantas eller behöva minskade åtgärder. Om du däremot behandlar data som ses som "särskilda kategorier av personuppgifter" (känsliga personuppgifter), även om det bara är ibland, måste du registrera denna databehandling. Definitionen av "tillfällig behandling" är vag, men den är avsedd att gälla uppgifter som används en gång eller sällan.
Du bör också se till att personuppgifterna som du samlar in är skyddade. Det innebär att du måste kryptera dem och säkerställa att åtkomsten till dem kontrolleras med hjälp av minst ett lösenord. Att lagra dina kunddata i ett kalkylblad på skrivbordet utan skydd uppfyller inte GDPR-förväntningarna.
Hur vet jag om företagets webbplats är GDPR-kompatibel?
Den första frågan du måste ställa dig själv är: Samlar du in personliga uppgifter någonstans på webbplats? Det kan till exempel vara ett kontaktformulär där du ber om ett namn och en e-postadress. Om du vill skicka marknadsföring via e-post behöver du ha en kryssruta där man frivilligt kan anmäla sig och som förklarar exakt vad du ska använda uppgifterna till. Du kan endast använda mottagarens personuppgifter i marknadsföringssyfte om de har kryssat för den rutan.
Kontrollera också att den databas som lagrar uppgifterna är skyddad. Ditt webbhotell eller din molnlagringsleverantör kan ge dig råd om detta. Om du använder Microsoft 365 för företag är lagringen av data GDPR-kompatibelt.
Mitt företag är utanför Europa. Påverkar GDPR oss?
GDPR är en lagstiftning som skyddar EU-medborgare. Om ditt företag har avtal med EU-medborgare nu, eller om du hoppas kunna ha det i framtiden, så påverkas du. Det här gäller både för medborgare som bor i en EU-stat och de som bor någon annanstans.
Begrunda följande exempel:
Ett amerikanskt företag som hyr ut bilar till EU-medborgare måste uppfylla GDPR-kraven när de samlar in och behandlar kunduppgifterna. Företaget måste inhämta samtycke när de tar kundernas uppgifter och säkerställa att de lagras säkert. Företaget måste också säkerställa att kunden kan tillämpa alla sina registrerades rättigheter.
Ett australienskt företag säljer produkter online och dess användare skapar onlinekonton. GDPR för samtycke och de registrerades rättigheter tillämpas för alla EU-medborgare som öppnar ett konto. Företaget måste säkerställa att kunden kan tillämpa alla sina registrerade rättigheter.
En internationell välgörenhetsorganisation samlar in uppgifter om donatorer och använder dem för att skicka ut uppdateringar och förfrågningar om donationer. GDPR säger: "... behandling av personuppgifter i direkt marknadsföringssyfte kan anses utföras av ett legitimt intresse." Organisationen ansvarar dock för att bevisa att deras intressen åsidosätter den registrerades intressen. Företaget (eller välgörenhetsorganisationen i det här fallet) måste alltid få ett meddelat uttryckligt samtycke.
GDPR gäller också när kunddata flyttas över gränserna. Om du använder molntjänster för datalagring måste du säkerställa att tjänsten är helt GDPR-kompatibel. Det kan bli komplicerat om datalagringen sker på platser som har bristande dataskydd. Om du använder Microsoft 365 för företag har vi korrekt juridisk dokumentation för att täcka GDPR-kraven.
Visst, jag samlar in uppgifter, men det är något annat företag som lagrar dem. Har jag mitt på det torra då?
Om du samlar in uppgifter påverkas du i viss utsträckning av GDPR. GDPR använder begreppen personuppgiftsbiträde och personuppgiftsansvarig:
Personuppgiftsansvarig: En enskild person eller organisation (ni kan ha gemensamma ansvariga) som avgör hur och vad för uppgifter som samlas in och varför. Uppgifterna kan lagras på ett annat företags molnservrar. Till exempel är en webbplats som samlar in kunddata en personuppgiftsansvarig.
Personuppgiftsbiträde: En enskild person eller organisation som lagrar data på uppdrag av de personuppgiftsansvariga och som behandlar dem på begäran. Till exempel fungerar datalagringen till Microsoft 365-applikationer för affärsverksamhet som personuppgiftsbiträde och är fullt GDPR-kompatibel.
En organisation eller ett system kan fungera både som ansvarig och biträde. Microsoft 365 för företag kan fungera som båda och uppfyller GDPR.
Kan jag fortfarande skicka ut marknadsföringsmeddelanden till mina gamla kunder?
Du måste se till att dina kunder, även de som du har haft i flera år, har gett sitt samtycke till att deras uppgifter används till marknadsföring. Kanske har du samlat in samtycke tidigare och har ett dokument som bevisar det. I så fall kan du fortsätta marknadsföringen. Om inte så måste du få behörighet från kunden till att fortsätta marknadsföringen till dem. Vanligtvis innebär detta att du skickar ett e-postmeddelande till kunderna där du ber dem besöka din webbplats och välja ett alternativ för att ge sitt samtycke till framtida e-postmeddelanden.
Behöver jag bry mig om GDPR när jag rekryterar ny personal? Vad gäller för nuvarande anställda?
GDPR påverkar inte bara kunddata, det omfattar anställdas personuppgifter också. Nya rekryteringar hittas ofta med hjälp av plattformar för sociala medier såsom LinkedIn. Se till att du inte lagrar potentiella rekryteringsdata utan deras uttryckliga samtycke.
När det gäller kontrakt för befintliga anställda och nya medarbetare behöver inte en signatur i slutet av ett avtal nödvändigtvis innebära samtycke, i synnerhet när en icke-bekräftande sats används i ett kontrakt. I det fallet behöver du samla in samtycke på ett tydligt sätt som är förbundet med den satsen. Vad detta innebär beror på anställningskontraktet, men i vissa fall kan du använda "berättigat intresse" och lägga till ett stycke om databehandling för anställda för att säkerställa att personalen är medvetna om hur du använder deras uppgifter.
Uppfyll integritetsfrågor med hjälp av Microsoft 365 för företag
Att bli GDPR-kompatibel handlar om att säkerställa att personuppgifter skyddas. GDPR har en princip som kallas Inbyggt dataskydd och dataskydd som standard. Det innebär att dataskyddet bör "bakas in" i ett system och i en produkt så det att uppfylla integritetsfrågor blir något helt naturligt.
Precis som sina större motsvarigheter har även ett litet företag behov för bekvämlighet utan att behöva kompromissa med säkerheten. Microsoft 365 för företag är avsett för företag med färre än 300 anställda. Småföretag kan använda Microsofts molnbaserade verktyg för att förbättra produktiviteten. Med Microsoft 365 för företag kan småföretag hantera e-postmeddelanden, dokumentation och till och med möten och händelser. Den har också inbyggda säkerhetsåtgärder och enhetshantering, vilket är avgörande för GDPR-efterlevnad.
Microsoft 365 för företag kan hjälpa dig med GDPR-processen på följande sätt:
Identifiera: Ett viktigt steg för GDPR-efterlevnad är att veta vilka data du har.
Hantera: Att styra åtkomsten till data och hantera dess användning är en viktig del av GDPR. Microsoft 365 för företag skyddar företagsdata baserat på principer som du vill tillämpa på enheter. Enhetshantering är viktigt i en tid där anställda arbetar på distans. Microsoft 365 för företag innehåller funktioner för enhetshantering som säkerställer att data skyddas på alla enheter. Du kan till exempel ange att alla Windows 10-enheter i ditt företag ska skyddas via Windows Defender.
Skydda: Microsoft 365 för företag är utformat för säkerhet. Dess kontroller för enhetshantering och dataskydd fungerar i hela företagsnätverket, inklusive fjärrenheter, för att skydda dina data. Microsoft 365 för företag erbjuder kontroller som sekretessinställningar i Microsoft 365-produktivitetsappar och kryptering av dokument. Med Microsoft 365 för företag kan du utföra övervakning av GDPR-efterlevnad för att säkerställa att du har rätt skyddsnivå.
Rapportera: GDPR lägger stort fokus på rapportering. Även företag som endast har en anställd måste dokumentera och rapportera sina procedurer om verksamheten hanterar stora mängder data. Microsoft 365 för företag gör rapporteringskraven för mindre organisationer smärtfritt.
Med verktyg som granskningsloggar kan du spåra och rapportera dataflyttning. Rapporterna inkluderar klassificering av de data du samlar in och lagrar, vad du gör med all data och överföringar av data.
Kunder, anställda och klienter blir allt mer medvetna om vikten av datasekretess och förväntar sig nu att ett företag eller en organisation ska respektera den sekretessen. Med Microsoft 365 för företag får du verktyg för att uppnå och upprätthålla GDPR-efterlevnad utan stor omvälvning för företaget.
Nästa steg
Här är några förslag på nästa steg du kan vidta för att förbereda dig för GDPR:
Utvärdera ditt GDPR-program med checklistor för beredskap av ansvarsskyldighet.
Undersök Microsoft 365 för företag som en lösning för att uppnå och upprätthålla efterlevnaden av GDPR.
Viktigt
Be om juridisk hjälp anpassat för ditt företag eller din organisation.
Ytterligare resurser
Översikt av GDPR i Microsoft Säkerhetscenter
Den officiella Microsoft-bloggen: Microsofts GDPR-åtaganden
Europeiska unionens webbplatser: