Versions Compared

Old Version 68

changes.mady.by.user Christian Häll

Saved on

compared with

New Version Current

changes.mady.by.user Christian Häll

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Video: Spellista med samtliga filmer om nya funktioner i samband med GDPR (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

...

Vissa inställningar är bara tillgängliga om tillvalet "GDPR Tools" beställts och har aktiverats i installationen.

Avtal och samtycke (basfunktionalitet)

Information

Enklast ses alla köp av tjänster och andra produkter som ingångna avtal. För att leverera tjänsten behöver ni grundläggande personuppgifter för att kunna:

...

Video "Avtalsvillkor vid registrering" (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

  • Om systeminställning "Kräv att avtalsvillkoren godkänts vid manuell registrering av kund" aktiveras ställs vid manuell registrering av person i gränssnitt för backoffice samt i kundrutiner en fråga till användaren om personen som registreras godkänt avtalsvillkoren innan personuppgifterna sparas. Användare och tidpunkt loggas.

    • BRP Cloud: Efter villkoren godkänts visas en dialog för val av samtycken.

  • Möjlighet att under Inställningar > Meddelandemallar skapa en meddelandemall "Avtalsvillkor vid registrering"

    • Om meddelandemallen "Avtalsvillkor vid registrering" skapats behöver nya kunder godkänna dessa vid registrering i internetbokning generation 2 (lanserad 2015). Tidpunkt sparas.

    • Om meddelandemallen "Avtalsvillkor vid registrering" skapats behöver befintliga kunder godkänna dessa vid vid bokning av gruppaktivitet eller tecknande av abonnemang i internetbokning generation 2 (lanserad 2015). Tidpunkt sparas.

  • Vid registrering eller uppdatering av person via API finns möjlighet att skicka med den tidpunkt då personen har accepterat avtalsvillkoren så att denna sparas i BRP.

  • Tidpunkten en person godkänt avtalsvillkoren vid registrering kan visas och ändras på personkortets marknadsflik.

  • Tidpunkten en person godkänt avtalsvillkoren kan användas som kriterium för ett avancerat urval.

  • Möjlighet för användare med rättigheten "Personer - Massändra uppgifter" att markera en eller flera personer i personlista, högerklicka och massändra tidpunkten för acceptans av avtalsvillkor vid registrering.

  • Systeminställning "Kräv godkännande av avtalsvillkor för registrering om det inte gjorts efter..." tvingar en kund att åter godkänna avtalsvillkoren vid registrering innan en bokning kan göras över internet. Funktionen används om ni ändrat villkoren och vill att kunden ska godkänna igen.

  • Möjlighet att skapa en så kallad reflink #/reflink/mypages?subpage=profile som leder direkt till "Mina sidor" i internetbokningen. Skickar ni ut denna via ett e-postutskick kan kunderna logga in och enligt er uppmaning i mailet godkänna villkoren.

  • Ny meddelandemall "Personuppgiftspolicy". Policyn visas på "Mina sidor" i internetbokningen under "Alla personuppgifter" förutsatt att meddelandemallen skapats.

Om inställningen "askForTermsOnManualRegistration" aktiverats visas denna dialog på följande sätt i samband med att en person skapas i BRP.

...

Om "showConsentsDialogWhenCreatingPerson" aktiverats visas samtycken som ett nästa steg.

...


Ny funktionalitet - samtycke till massutskick

...

  • Utforma ett tydligt avtal där ni berättar vilken information som lagras, varför och hur den används. Lägg in dessa i meddelandemallen "Avtalsvillkor vid registrering".

  • Informera om att bild är frivilligt (om så är fallet) och att bilden kan komma att användas vid stickprovskontroller och på skärmar vid inpassering.

  • Informera om integrationer och automatiska exporter som medför att kunduppgifter skickas till tredje part, samt varför dessa är nödvändiga för att ni ska kunna leverera tjänsten.

  • Använder ni fortfarande internetbokning generation 1 behöver ni extra noga se över om ni bedömer att ni kan uppfylla kraven i GDPR eftersom den produkten inte lägre utvecklas. Ett tips kan vara att inaktivera registrering i internetbokningen.

  • Konfigurera inställningarna för standardvärden för samtycke till massutskick via brev, e-post och sms. Sannolikt vill ni sätta inställningen till "nej".

  • Skapa meddelandemallar för samtycke för massutskick av brev, e-post och sms.

  • Skapa meddelandemall för personuppgiftspolicy.

Begränsa lagring av personuppgifter (basfunktionalitet)

Information

För att anonymisering ska vara möjlig behöver personuppgifter så långt det är möjligt hållas till personobjektet så att en anonymisering blir fullständig.

...

  • Undvik att skriva in personuppgifter i meddelandefälten på bokningar och beställningar eller i andra fält utanför personkortet.

Begränsa tillgång till personuppgifter (basfunktionalitet)

Video: Begränsa tillgång till personuppgifter (Textning på svenska eller norska kan aktiveras med knappen nere till höger i videofönstret.)

Information

För att personuppgifter inte i onödan ska visas för användare som inte behöver dem införs nya rättigheter, möjligheter att begränsa resultat i sökningar och aktiv visning av uppgifter i kombination med loggning.

...

  • Konfigurera maximalt antal träffar vid personsökning

  • Konfigurera personlistan i Systemet så att endast de kolumner som är absolut nödvändiga för att hitta den person man söker visas, kanske bara för och efternamn.

  • Var återhållsam med rättigheterna som ger utökade rättigheter till sökning och access till personuppgifter.

  • Var återhållsam med rättigheterna som ger tillgång till exporter av personlistor.

  • Reglera i avtal vilka uppgifter API-integratörer och mottagare av automatiserade exporter får hantera.

  • Se över avtal med kund om ni exporterar personuppgifter till tredje part, som integratörer eller externa e-postsystem.

Manuell anonymisering (basfunktionalitet)

Information

Anonymisering gör så att information som registrerats i Systemet inte längre kan tillskrivas en verklig person. När en registrerad person ska betraktas som ej aktiv och eventuellt anonymiseras beslutas av personuppgiftsansvarig.

...

  • Ta beslut om vilka användare som får de nya rättigheterna

  • Sätt upp en rutin för hur ni hanterar kunder som säger upp sitt abonnemang eller låter det löpa ut.

  • Eftersom det inte är ovanligt att kunder återkommer och ångrar sin uppsägning eller tecknar ett nytt abonnemang kan ni om det passar verksamheten markera personer för anonymisering och sedan avvakta några veckor innan slutgiltig anonymisering.

Automatiserad anonymisering (tillval GDPR tools)

Information

En samling verktyg som med regler och automatisering underlättar anonymisering.

...

  • Ta beslut om tömning av fritextfält vid anonymisering

  • Om inte slutgiltig anonymisering ska ske automatiskt, skapa en rutin för vem som gör det manuella steget och hur ofta.

  • Även om slutgiltig anonymisering ska ske automatiskt, gå manuellt igenom listan över personer som markerats för anonymisering under den första tiden för att säkerställa att urvalet passar er verksamhet.

  • När ni hittat rätt inställningar behöver ni fortfarande kontrollera listan med någon veckas intervall (ej över 30 dagar) för att säkerställa att funktionen fungerar ordentligt.

Gallring

Information

I direktivet beskrivs hur anonymisering och gallring kan användas för att inte uppgifter ska lagras längre än nödvändigt. Personuppgifter kan gallras manuellt. Vi har valt att initialt fokusera på anonymisering eftersom gallring av bokningar, köp, besök med mera kraftigt skulle begränsa följande funktioner:

  • Försäljningsstatistik

  • Servicegrad vid återköp och reklamationer (där Registrerads koppling till bokning och köp möjliggör hantering trots att han/hon inte sparat kvittot).

  • Besöksstatistik (som behövs för att planera bemanning under året)

  • Besöksloggar (som är nödvändiga pga säkerhet i händelse av incidenter och för felsökning när kunder rapporterar problem)

  • Träningsstatistik (som presenteras för slutkund / registrerad person)

Kommunikation med tidigare registrerade personer (tillval GDPR tools)

Information

Om ni bedömer det vara förenligt med GDPR (intresseavvägning) kan ni aktivera en funktion som vid anonymisering överför personens e-postadress till ett externt e-postsystem, exempelvis MailChimp. På så sätt kan ni informera kunder om era tjänster trots att personen inte längre är registrerad i Systemet.

...

  • Ny rättighet "Personer - Utskick utan samtycke"

  • Om användaren har rättigheten, vid val av en eller flera personer i personlistan och utskick (e-post eller sms), tillåt efter kontrollfråga ("123 av de 456 personerna saknar samtycke...") att utskick görs ändå.

  • Att utskick gjordes utan samtycke loggas genom en marknadsaktivitet på personkortet. Marknadsaktiviteten skapas oavsett om personen i fråga gett samtycke eller inte, om användaren väljer att gå vidare och göra utskick till valda personer oavsett samtycke.

  • Funktionen finns endast i BRP Cloud

Slutet system för spärrade personer (tillval GDPR tools)

Information

Även personer som inte betalat sina skulder eller fått anmärkningar på grund av beteende som strider mot avtalet har rätt att anonymiseras. Personuppgiftsansvarig kan då välja att lägga personen till ett slutet system som kan fungera som verktyg för att hindra dessa kunder från att åter registrera sig som kunder.

...

Hiddenfragment macro
groupVisibilitybrponly

BRP only: Tabellen för spärrade anonymiserade personer heter suspended_anonymized_person

...

Fastställ en tydlig policy där det framgår när ni spärrar en person. Överväg att informera om policy i avtalet. Ge endast ett fåtal personer tillgång till listan över spärrade personer.

Information om registrerade personuppgifter (basfunktionalitet)

Information

Registrerade personer ska enkelt få tillgång till information om vilka personuppgifter som normalt registreras och hur de används.

...

Formulera en tydlig policy där det framgår vad som registreras och hur uppgifterna används.

Utdrag från personregister (tillval GDPR tools)

Information

En registrerad person som begär ett utdrag av vad som registrerats har rätt till detta. Eftersom det är viktigt att informationen endast lämnas ut till den registrerade personen och ingen annan behöver Registrerad besöka anläggningen så att identifiering är möjlig.

...

Skapa en rutin för hur en person som begär utdrag från personregistret ska identifiera sig, vem som gör utdraget, vilken information utdraget ska innehålla och om informationen ska överlämnas direkt på plats eller efter ett antal dagars väntetid. Tänk även över hur filen ska lämnas över. Några möjliga lösningar är på papper eller genom USB-minne eller liknande. Tänk på att det inte är lämpligt att skicka personuppgifter via e-post.

Hantering av barns personuppgifter (basfunktionalitet)

Information

Om ett barn är under 16 år är behandling av personuppgifter endast tillåten om föräldern ger samtycke. Barn förekommer i systemet som deltagare på arrangemang (exempelvis simskolor) där beställaren är en förälder, eller som registrerade personer för exempelvis abonnemang eller tjänstebokningar.

...

  • Konfigurera ålderskontroll och personkoppling för arrangemang på ett sätt som ni bedömer är förenligt med GDPR.

  • Skapa meddelandemall "Samtycke vid registrering av barns personuppgifter"

  • Utforma rutin för att inhämta samtycke när barn registreras i receptionen. Ni kan exempelvis laminera en A4 med samtyckestexten.

  • Om samtycket återkallas, avsluta all aktivitet (som abonnemang, bokningar mm) och anonymisera barnet.

Rätt till invändning (basfunktionalitet)

Information

Registrerad person har rätt att invända om registrering eller behandling av personuppgifter skett utan avtal eller samtycke.

...

Vid invändning från registrerad, rätta eller anonymisera registrerad information.

Personer som registrerats innan GDPRs inträde

Information

Om ni gjort ändringar i avtalet i samband med GDPR har tidigare registrerade personer inte läst eller godkänt dessa.

...

Bedöm om ni anser att ni med hänvisning till intresseavvägning kan välja att endast genom utskick och skyltar på anläggningarna informera om det nya avtalet och er personuppgiftspolicy, eller om ni behöver inhämta godkännande från samtliga registrerade personer.

Rätt till rättning (basfunktionalitet)

Information

Registrerad person har rätt att lämna nya uppgifter om de som registrerats inte stämmer, exempelvis om namn eller adress är felaktiga.

...

  • Vid begäran om rättning, korrigera felaktig information.

  • Om personuppgifter exporteras till andra system, gör ändringen där med. Hela kedjan ska informeras om det inte är för betungande.

Rätten att bli bortglömd

Information

Begäran om radering måste ha en grund, exempelvis att samtycke saknas. Förfrågan hanteras på anläggningen eftersom bedömning av personal och ID-kontroll behöver göras.

...

  • Kontrollera ID

  • Säg upp och slutbetala abonnemanget.

  • Markera personen för anonymisering och slutför sedan denna enligt era rutiner.

  • Raderingen av personuppgifterna ska vara genomförda inom 30 dagar.

Dataportabilitet

Information

Omfattar bara information registrerad person matat in, exempelvis spellistor i Spotify. Ej profilering eller automatiskt registrerad information. Vi bedömer inte att denna typ av begäran är tillämpbar för den data som lagras i Systemet.

Automatiskt beslutsfattande

Information

Behöver bara begränsas om regler ger betydande påverkan för person. Vi bedömer inte att Systemet innehåller automatiska funktioner av denna typ.

Hantering av kontaktpersoner och leads

Information

Personer som inte är kunder eller anställda saknar avtal och har inte gett samtycke till registrering. Registrera endast dessa i systemet om ni bedömer att hanteringen kan vara tillåten med hänvisning till intresseavvägning.

...