PandaDocs efterlevnad av den allmänna dataskyddsförordningen (GDPR)

Uppdaterad 19 mars 2021

Det här är det, det här gör vi, och det här kan du göra

Den allmänna dataskyddsförordningen trädde i kraft den 25 maj 2018 och ökade tillsynen av globala integritetsrättigheter och efterlevnad. Vi på PandaDoc har anammat kraven i den allmänna dataskyddsförordningen och den här guiden är avsedd att hjälpa våra kunder att förstå PandaDocs inställning till dataskyddsförordningen. Den är inte avsedd att vara en detaljerad avhandling om tillämpning av den allmänna dataskyddsförordningen och bör läsas med detta i åtanke.

Vad är den allmänna dataskyddsförordningen?

Den allmänna dataskyddsförordningen (”GDPR”) är en europeisk dataskydds- och integritetslagstiftning som antogs den 14 april 2016, och som officiellt trädde i kraft den 25 maj 2018. Förseningen på två (2) år mellan antagande och verkställighet var avsedd att ge organisationer tid att förbereda sig innan den trädde i kraft.

Den allmänna dataskyddsförordningen är ett ambitiöst försök att stärka, harmonisera och modernisera EU:s dataskyddslagstiftning och förbättra individuella rättigheter och friheter, i överensstämmelse med den europeiska förståelsen av integritet som en grundläggande mänsklig rättighet. Dataskyddsförordningen reglerar bland annat hur individer och organisationer får erhålla, använda, lagra och radera personuppgifter. Den ersatte ett tidigare EU-integritetsdirektiv, kallat direktiv 95/46/EG (“direktivet“), som var grunden för europeisk dataskyddslagstiftning från 1995 till början av 2018. Till skillnad från sin föregångare gäller den allmänna dataskyddsförordningen omedelbart i hela Europeiska unionen (“EU”), i alla medlemsländer utan behov av ytterligare lagstiftningsåtgärder från medlemsstaterna.

Dataskyddsförordningen har varit i kraft sedan mitten av maj 2018 och det finns ingen ytterligare “anståndstid“. Det är viktigt att organisationer som påverkas av dataskyddsförordningen nu följer bestämmelserna i den.

Hur fungerar den allmänna dataskyddsförordningen?

Det finns många principer och krav som har införts av den allmänna dataskyddsförordningen, så det är viktigt att se över dataskyddsförordningen i sin helhet för att säkerställa en fullständig förståelse av dess krav och hur de kan gälla för din organisation. Även om dataskyddsförordningen bevarar många principer som fastställts av direktivet, infördes flera viktiga och ambitiösa förändringar. Här är några som vi tror är särskilt relevanta för PandaDoc och våra kunder:

  1. Utvidgning av tillämpningsområde: dataskyddsförordningen gäller för alla organisationer som är etablerade i EU eller som behandlar data från registrerade personer, vilket introducerar begreppet extraterritorialitet och breddar omfattningen av EU:s dataskyddslagstiftning långt utanför EU:s gränser.
  2. Utvidgning av definitioner av personuppgifter och särskilda kategorier av uppgifter.
  3. Utvidgning av individuella rättigheter: Registrerade personer har flera viktiga rättigheter enligt dataskyddsförordningen, inklusive rätten att bli glömd, rätten att invända, rätten till rättelse, rätten till tillgång och rätten till portabilitet. Din organisation måste se till att den kan tillgodose dessa rättigheter om den behandlar de registrerades personuppgifter.

4. Striktare samtyckeskrav: Samtycke är en av de grundläggande rättsliga grunderna för den allmänna dataskyddsförordningen, och organisationer måste säkerställa att samtycke erhålls i enlighet med kraven i dataskyddsförordningen. Din organisation behöver inhämta samtycke från sina abonnenter och kontakter för varje användning av deras personuppgifter såvida den inte kan förlita sig på en separat rättslig grund. Vägen till efterlevnad är att få ett uttryckligt samtycke. Tänk på att:

5. Strikta behandlingskrav: Individer har rätt att få ”rättvisande och transparent” information om behandlingen av deras personuppgifter, inklusive:

Vem påverkar det?

Som nämnts ovan är det territoriella tillämpningsområdet för den allmänna dataskyddsförordningen mycket brett. De två vanligaste territoriella villkoren för tillämpning av dataskyddsförordningen är att förordningen gäller (1) för behandling av personuppgifter inom ramen för verksamheten i en verksamhet som bedrivs av en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, oavsett om behandlingen sker i unionen eller inte; och  (2) för behandling av (a) erbjudanden av varor eller tjänster, oavsett om en betalning från den registrerade personen krävs, till sådana registrerade personer i unionen; eller b) övervakning av deras beteende i den mån deras beteende äger rum inom unionen. Det senare är dataskyddsförordningens införande av principen om ”extraterritorialitet” – vilket innebär att förordningen gäller för alla organisationer som behandlar personuppgifter om registrerade personer – oavsett var den är etablerad och oavsett var dess aktiva processer äger rum. Detta innebär att dataskyddsförordningen kan gälla för alla organisationer var som helst i världen, och alla organisationer bör utföra en analys för att avgöra om de behandlar EU-medborgares personuppgifter eller inte. Förordningen gäller även inom alla branscher och sektorer.

Här är några definitioner som hjälper dig att förstå den allmänna dataskyddsförordningens omfattande räckvidd.

Vad är en ”registrerad person”?

Dataskyddsförordningen definierar en registrerad person inom dess definition av ”personuppgifter” som diskuteras nedan. En registrerad person är en identifierbar fysisk person som kan identifieras, direkt eller indirekt, genom hänvisning till en identifierare, såsom ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller genom en eller flera faktorer som är specifika för den fysiska personens fysiska, psykologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.

En registrerad person är inte begränsad till EU-medborgarskap. Effekten av detta är uppenbar i den territoriella tillämpningen av dataskyddsförordningen som beskrivs ovan. En organisation som behandlar personuppgifter inom ramen för en verksamhet i EU innebär behandling av personuppgifter för alla identifierbara fysiska personer oavsett var den fysiska personen befinner sig – förutsatt att behandlingen sker inom ramen för verksamheten. En organisation som inte är etablerad i EU, men som erbjuder varor eller tjänster till en registrerad person inom EU omfattas också av dataskyddsförordningen. Observera att i det här fallet, utöver dess tillämpning på en fysisk person, även krävs att den fysiska personen är fysiskt närvarande i EU.

Vad anses vara ”personuppgifter”?

Den allmänna dataskyddsförordningen definierar personuppgifter som all information som rör en identifierad eller identifierbar fysisk individ; det vill säga information som kan användas, på egen hand eller i kombination med andra uppgifter, för att identifiera en registrerad person. Tänk på den extremt omfattande räckvidden av denna definition. Personuppgifter inkluderar nu inte bara uppgifter som vanligtvis anses vara personliga till sin natur (t.ex. personnummer, namn, fysiska adresser, e-postadresser), utan även uppgifter som IP-adresser, beteendedata, platsdata, biometriska data, finansiell information och mycket annat. Detta innebär för PandaDoc-användare att information som en organisation samlar in om sina abonnenter och kontakter betraktas som personuppgifter enligt dataskyddsförordningen. Det är också viktigt att notera att även personuppgifter som har ”pseudonymiserats” kan betraktas som personuppgifter om pseudonymen kan kopplas till en viss individ, så vederbörlig försiktighet bör iakttas när man utvärderar dess tillämpning. Klassificering av data som personuppgifter enligt dataskyddsförordningen kommer att kräva att organisationer följer vissa förpliktelser och skyldigheter i samband med vad som i grova drag kan kallas transparens som involverar användningen av dessa personuppgifter – och detta inkluderar dess säkerhet.

Särskilda uppgiftskategorier, såsom hälsoinformation eller information som avslöjar en persons biologiska eller etniska ursprung, kräver ännu bättre skydd under dataskyddsförordningen. En organisation bör inte lagra uppgifter av denna typ i sitt PandaDoc-konto.

Vad innebär det att ”behandla” data?

Behandling enligt den allmänna dataskyddsförordningen är ”varje åtgärd eller uppsättning åtgärder som utförs på personuppgifter eller på uppsättningar av personuppgifter, oavsett om det sker på automatiserade sätt, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, samråd, användning, offentliggörande genom överföring, spridning eller på annat sätt tillgängliggörande, anpassning eller kombination, begränsning, radering eller förstörelse.” Om din organisation samlar in, hanterar, använder eller lagrar personuppgifter om registrerade personer, behandlar den EU-personuppgifter i den mening som omfattas av dataskyddsförordningen. Detta innebär till exempel att om någon av organisationens PandaDoc-listor innehåller e-postadressen, namnet eller andra personuppgifter för någon registrerad person, så behandlar din organisation EU-personuppgifter enligt dataskyddsförordningen. Tillämpningen av dataskyddsförordningen är naturligtvis beroende av att de territoriella tröskelkraven som förklaras ovan uppnås.

Tänk på att även om din organisation inte tror att dess verksamhet kommer att påverkas av dataskyddsförordningen, kan dataskyddsförordningen och dess underliggande principer fortfarande vara viktiga för den. Europeisk lagstiftning är ofta föregångare för internationella integritetsförordningar, och ökad integritetsmedvetenhet nu kan ge organisationen en konkurrensfördel senare.

Vem behandlar personuppgifter enligt dataskyddsförordningen?

Om en organisation ”behandlar” personuppgifter gör den det som antingen en personuppgiftsansvarig eller ett personuppgiftsbiträde, och det finns olika krav och skyldigheter för båda rollerna. En personuppgiftsansvarig är den organisation som bestämmer ändamålen och medlen för behandling av personuppgifter. En personuppgiftsansvarig bestämmer också vilka specifika personuppgifter som samlas in för behandling från en registrerad person. Ett personuppgiftsbiträde är den organisation som behandlar uppgifterna på uppdrag av den personuppgiftsansvarige. Personuppgiftsbiträdet är en tjänsteleverantör eller leverantör i relationen.

Den allmänna dataskyddsförordningen har inte ändrat de grundläggande definitionerna av personuppgiftsansvarig och personuppgiftsbiträde som finns i direktivet, men den har utökat ansvaret för båda parterna. De personuppgiftsansvariga behåller det primära ansvaret för dataskydd (inklusive till exempel skyldigheten att rapportera dataintrång till dataskyddsmyndigheter). Dataskyddsförordningen lägger dock ett visst direkt ansvar på personuppgiftsbiträdet också. Det är viktigt att förstå om din organisation agerar som personuppgiftsansvarig eller personuppgiftsbiträde, och att du förstår vilka skyldigheter ni har i respektive roll.

I samband med PandaDoc-applikationen och våra relaterade tjänster agerar våra kunder i de flesta fall som personuppgiftsansvariga. Våra kunder bestämmer till exempel vilken information från deras kontakter eller abonnenter som laddas upp eller överförs till deras PandaDoc-konton. Hur PandaDoc behandlar personuppgifter beskrivs nedan.

Hur följer PandaDoc dataskyddsförordningen?

PandaDoc tar efterlevnad av den allmänna dataskyddsförordningen på största allvar och påbörjade förberedelserna för förordningen i god tid innan dess ikraftträdandedatum. Som en del av denna process har vi granskat (och vid behov uppdaterat) alla våra interna processer, procedurer, system och dokument för att säkerställa att vi var redo när dataskyddsförordningen trädde i kraft. Efterlevnad är inte en oföränderlig process, utan kräver vaksamhet inför ändrade omständigheter och juridiska krav.

En nyligen utförd ändring innefattar domen från Europeiska unionens domstol (”EU-domstolen”) i det som kallas Schrems II-domen. Detta beslut kretsar kring överföring av personuppgifter från EU:s medlemsländer till tredje parts länder, såsom USA. Varken den allmänna dataskyddsförordningen eller direktivet innehåller något specifikt krav på att EU-medborgares personuppgifter endast ska lagras i EU:s medlemsländer. Däremot kräver dataskyddsförordningen att vissa villkor är uppfyllda innan personuppgifter överförs utanför EU, vilket identifierar ett antal olika rättsliga grunder som organisationer kan förlita sig på för att utföra sådana dataöverföringar. En rättslig grund för att överföra personuppgifter som anges i dataskyddsförordningen är ett “beslut om adekvat skyddsnivå”. Ett beslut om adekvat skyddsnivå är ett beslut av Europeiska kommissionen om att det finns en adekvat skyddsnivå för personuppgifterna i landet, territoriet eller organisation de överförs till. Schrems II-domen ogiltigförklarade beslut om adekvat skyddsnivå för transatlantisk dataöverföring till USA, som kallas Sköld för skydd av privatlivet II. Ett annat resultat av detta beslut involverade användningen av ”standardavtalsklausuler” mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredje landet eller den internationella organisationen. Standardavtalsklausuler är en allmänt åberopad rättslig grund under rubriken ”lämpliga skyddsåtgärder ” där överföring av personuppgifter endast får ske om lämpliga skyddsåtgärder har vidtagits och juridiskt bindande rättigheter samt effektiva rättsmedel finns tillgängliga. När EU-domstolen fastställde denna skyddsåtgärds giltighet, fastställde den vissa villkor för dess användning.

PandaDoc har åtagit sig att följa resultaten av Schrems II-domen och alla andra rättsliga mandat i framtiden och vi följer utvecklingen – särskilt med avseende på Europeiska dataskyddsstyrelsens vägledningspublikationer och tillsynsmyndighetens yttranden.

I enlighet med vår policy är vi redo att ta itu med alla förfrågningar från våra kunder relaterade till deras utökade individuella rättigheter enligt den allmänna dataskyddsförordningen. Generellt sett inkluderar dessa:

HoHur behandlar PandaDoc personuppgifter?

PandaDoc använder, precis som de flesta företag, för närvarande underentreprenörer från tredje part för att tillhandahålla olika affärsfunktioner som affärsanalys, molninfrastruktur, e-postmeddelanden, betalningar och kundsupport. Innan vi samarbetar med en tredje parts underentreprenör använder PandaDoc tillbörlig aktsamhet för att utvärdera dennes defensiva disposition och verkställer ett avtal som kräver att varje underentreprenör upprätthåller en lägsta acceptabla säkerhetspraxis. Vi har listat våra underentreprenörer på en separat sida. Vi håller den här sidan uppdaterad, så gå gärna till den regelbundet så får du uppdateringar om alla ändringar.

Behöver du följa den allmänna dataskyddsförordningen?

Som beskrivits ovan har dataskyddsförordningen en bred extraterritoriell räckvidd och vederbörlig hänsyn bör tas till dess tillämpning i din organisations verksamhet. Vi kan inte nog betona att du bör rådfråga juridiska och andra professionella rådgivare angående hela omfattningen av din organisations efterlevnadsförpliktelser enligt dataskyddsförordningen.

Vad händer om du inte följer den?

Underlåtenhet att följa dataskyddsförordningen kan resultera i enorma ekonomiska påföljder. Sanktioner för bristande efterlevnad kan vara så höga som 20 miljoner euro eller 4 % av den globala årliga omsättningen, beroende på vilket som är högst.

Var ska jag börja?

Vi har inkluderat tabellen nedan för att hjälpa våra kunder att tänka på dataskyddsförordningen och deras ansvar OCH hur PandaDoc ingår i ekvationen. Denna lista är varken exklusiv eller uttömmande.

Krav i förordningenReferens i förordningenAktör(er)Vidtagna åtgärder
Laglig grundArtikel 6, artikel 11DelatPandaDoc: Etablerar en laglig grund för att behandla personuppgifter. Registrerad person: Om den lagliga grunden är samtycke, samtycker den registrerade personen till PandaDocs datainsamling om denne.
Behandling av barns personuppgifterArtikel 8PandaDocSkiljer inte på olika typer av personuppgifter och samlar inte medvetet in barns personuppgifter.
Inbyggt dataskyddArtikel 25DelatPandaDoc: Samlar in det minimum av personuppgifter som krävs för att utföra normal affärsverksamhet. Kund: Hanterar innehåll inom PandaDocs plattform.
Konsekvensbedömningar avseende dataskyddArtikel 35DelatPandaDoc: Utser ansvarig personal för att utföra alla konsekvensbedömningar av seende dataskydd som krävs. Kund: Bestämmer nivån på innehållet som delas med affärspartners och kan hjälpa PandaDoc i egenskap av personuppgiftsbiträde.
KrypteringArtikel 32DelatPandaDoc och kund (som personuppgiftsbiträde): Följer säkerhetskraven. Personuppgifter krypteras under överföring och i vila med AES-256-bitars kryptering.
Europeiska dataskyddsstyrelsenArtikel 68DelatPandaDoc och kund (som personuppgiftsbiträde): Håller koll på Europeiska dataskyddsstyrelsens verksamhet
Inventering av personuppgifterArtikel 30DelatPandaDoc och kund (som personuppgiftsbiträde): Följer ett register över krav på bearbetningsaktivitet.
Rätt till raderingArtikel 17DelatPandaDoc: Utser ansvarig personal att svara på varje utövande av denna rättighet. Registrerad person: utövar sin rätt till radering som PandaDoc tillhandahåller.