BL Bokslut och GDPR

Dataskyddsförordningen, GDPR, gäller från 25 maj 2018. På den här sidan har vi samlat sådant som gäller BL Bokslut och GDPR, vad du ska tänka på för att uppfylla de krav som de nya reglerna ställer och vilka programfunktioner du kan använda dig av i ditt arbete med GDPR.

För att kunna utnyttja programmets funktionalitet kring GDPR fullt ut behöver du arbeta i versionerna 2017.6.104, 2017.6.204 DIÅR och 2018.1.101 eller senare.

  • Vad är GDPR?
  • Personuppgiftsbiträdesavtal
  • Personuppgifter
  • Personuppgifter i programmet
  • Exportera personuppgifter
  • Radera personuppgifter
  • Säkerhet

Vad är GDPR?

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen ersätter personuppgiftslagen (PUL) som gällt tidigare. GDPR ställer bland annat större krav på dokumentation och information från dem som hanterar personuppgifter. Förordningen tillämpas från och med 25 maj 2018.

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.

GDPR gäller för samtliga företag/myndigheter/föreningar och i vissa fall även privatpersoner som har verksamhet i ett EU-land eller med individer som befinner sig i ett EU-land. Den gäller all personuppgiftsbehandling i systematisk form, i princip all form av elektronisk hantering av personuppgifter, inklusive register, databaser och löpande text. Den kan även gälla viss manuell hantering, t ex register man har på papper.

På vår sida Integritet & GDPR har vi samlat all information om vår syn på integritet och vårt integritetsarbete. Här finns även fakta och verktyg som du har nytta av i ditt GDPR-arbete.

Personuppgiftsbiträdesavtal

GDPR gäller för den personuppgiftsansvarige, dvs den som hanterar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till. Den gäller även för den som är personuppgiftsbiträde, dvs den som hanterar personuppgifter för den personuppgiftsansvariges räkning, t ex en leverantör av en IT-tjänst.

Både en personuppgiftsansvarig och ett personuppgiftsbiträde har alltså ansvar för att GDPR följs. Båda måste t ex föra register över behandling och ha ett eget ansvar för säkerhet. Använder du någon annan för att behandla dina personuppgifter är du tvungen att ha ett skriftligt personuppgiftsbiträdesavtal med denne, tillsammans med en instruktion om hur biträdet får behandla de personuppgifter som du är ansvarig för.

Genom att du använder BL Bokslut är vi som leverantör av programmet ett personuppgiftsbiträde för dig, dels genom att vi lagrar din data om du använder våra molntjänster, dels genom att vi agerar som biträde om vi fjärrstyr din dator eller tar in filer från dig för åtgärd i vår support. Detta innebär att du behöver ha ett personuppgiftsbiträdesavtal med oss. Vi erbjuder ett färdigt sådant biträdesavtal med tillhörande information. Vi rekommenderar att ni som personuppgiftsansvariga skriver ett avtal med oss på sådant sätt.

Personuppgifter

Vad räknas då som personuppgifter? Jo, en personuppgift är något som ensamt eller i kombination med andra uppgifter kan peka ut en unik nu levande person. Ett bra exempel är ett personnummer som helt ensamt kan peka ut en viss person.

Ett namn är i sig själv troligen inte en personuppgift eftersom det kan finnas flera personer med samma namn. Kombinerar man däremot namnet med en adress och postort så är det högst troligt en personuppgift eftersom namnet och adressen pekar på en viss person.

Längre ned listas de personuppgifter som förekommer i programmet.

Känsliga personuppgifter

Vissa kategorier av personuppgifter anses vara känsliga personuppgifter. Det gäller uppgift om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om en fysisk persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter samt uppgifter om hälsa. Här gäller ännu mer restriktiva regler.

Vi bedömer att det i dagsläget inte finns fält för inmatning i BL Bokslut där det kan bli aktuellt med känsliga personuppgifter.

Personuppgifter i programmet

I BL Bokslut förekommer på många ställen fält som avses innehålla personuppgifter. Dessutom finns på flera ställen (basuppgifter, bilagor, noter etc.) fria anteckningsfält där du kan ha sparat personuppgifter. Samtliga dessa register omfattas av GDPR och måste följa de krav reglerna ställer. Nedan listas de fält i respektive programdel som är avsedda för personuppgifter:

  • Företagets basuppgifter – Nås via fliken Basuppgifter och knappen Företagsuppgifter. Här finns fält med generella personuppgifter, exempelvis namn, telefonnummer, kundnummer och säte. Här finns också identitetspersonuppgifter såsom organisationsnummer.
  • Personuppgifter – Nås via fliken Basuppgifter och knappen Personuppgifter. I personuppgifterna finns fält för inmatning av följande personuppgifter:
    • Generella personuppgifter, exempelvis namn, telefonnummer, adress  och e-postadress.
    • Ytterligare personuppgifter såsom land.
    • Identitetspersonuppgifter i form av personnummer.
    • Ekonomiska personuppgifter, exempelvis aktieinformation.
  • Aktieboken – Nås via fliken Basuppgifter och knappen Aktiebok. I aktieboken finns fält för inmatning av följande personuppgifter:
    • Generella personuppgifter, exempelvis namn, telefonnummer, adress och e-postadress.
    • Identitetspersonuppgifter i form av personnummer/organisationsnummer
    • Ekonomiska personuppgifter, exempelvis Aktieinformation

Exportera personuppgifter

Enligt GDPR ska det vara möjligt att exportera personuppgifter enligt kraven på dataportabilitet och möjligheten att få ut ett registerutdrag. Båda dessa krav tillgodoses i BL Bokslut av funktionen Exportera personuppgifter.

Dataportabilitet

Dataportabilitet innebär att exempelvis en kund som lämnat sina personuppgifter till ett företag har rätt att få ut sina personuppgifter i elektronisk form och använda uppgifterna på annat håll. Ett företag som tagit emot personuppgifterna är skyldigt att underlätta en sådan överflyttning av personuppgifter på ett strukturerat sätt.

Registerutdrag

Ett registerutdrag ska alltid lämnas skriftligen och ska innehålla information om vilka uppgifter om den sökande som behandlas i form av ett utdrag med alla de personuppgifter som rör personen som sökt registerutdrag, varifrån dessa uppgifter kommer, vad som är ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut. Ifrån programmet kan du få ut personuppgifterna för den aktuella personen, men förutom det behöver du alltså komplettera uppgifterna med dokumentation om ändamålet m m, eftersom dessa uppgifter inte framgår i BL Bokslut på något sätt.

Det är upp till dig som personuppgiftsbehandlare att säkerställa att det är rätt person som ber om uppgifterna, dvs någon form av verifiering eller identifiering av att det faktiskt är den personen som uppgifterna avser som också efterfrågat dem. Det kan ske exempelvis genom legitimation, inloggning med hjälp av BankID eller annan inloggad tjänst hos företaget.

För att Exportera personuppgifter klickar du på Arkiv (det lilla b:et i vänstra hörnet) – Import/Export – Export personuppgifter. Du får då välja att spara den skapade csv-filen på valfri plats. En csv-fil läses främst i andra program och passar bäst om syftet är att använda uppgifterna för dataportabilitet.

Radera personuppgifter

Enligt GDPR får personuppgifter inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.

Man har bara laglig rätt att behandla personuppgifter om man har en så kallad rättslig grund. De fyra olika grunder som man normalt kommer att använda sig av är samtycke, avtal, rättslig förpliktelse eller intresseavvägning. Samtycke är ett sätt att hämta ett uttryckligt godkännande från kunden. Avtal ger dig rätt att behandla personuppgifter för att kunna uppfylla det ni ingått avtal om. Rättslig förpliktelse är t ex att man är tvungen att spara bokföringsunderlag i 7 år enligt bokföringslagen eller att man är tvungen att skicka in en inkomstdeklaration till Skatteverket. Intresseavvägning innebär att du anser att ditt intresse av att behandla uppgiften väger tyngre än den registrerades rätt till att inte bli behandlad, det kan t ex vara ifråga om direktreklam.

Ta bort bokslutsfil

För att radera en fullständig bokslutsfil där samtliga personuppgifter finns gör du så här:

  1. Klicka på Arkiv (det lilla b:et i vänstra hörnet)
  2. Välj knappen Ta bort
  3. Här kan du välja att ta bort en befintlig bokslutsfil sparad enligt mappinställningarna i programmet (som du hittar under Arkiv- Inställningar) eller ta bort en bokslutsfil sparad på annan plats.
  4. Markera den bokslutsfil du vill ta bort och klicka på Ta bort fil eller knappen Öppna (om du valt att ta bort en bokslutsfil sparad på annan plats).

 

Säkerhet

Sedan tidigare har vi ett starkt skydd för dig som arbetar i molnet, med krypterad inloggning och trafik. Varje databas i molnet är skyddad med unika inloggningsuppgifter som gör att man inte kan komma åt någon annans data av misstag. Servrarna skyddas och övervakas dygnet runt.

För att skydda dina personuppgifter har vi ytterligare förstärkt skyddet genom både organisatoriska och tekniska åtgärder samt information:

  • Vi har ändrat och förbättrat våra interna rutiner så att dina inloggningsuppgifter till molnet skyddas på ett bättre sätt.
  • BL ändrar sina lagringspolicys för hur länge kundfiler kan lagras hos BL i samband med support, felsökning och konverteringshjälp.
  • I vissa fall när känsliga uppgifter ska skickas mellan BL och kund så kan det krävas Bank-ID inloggning för att kunna ta del av dessa.
  • Vi har utökat skyddet för våra molndatabaser genom att aktivt söka efter kända sårbarheter via ett speciellt verktyg.
  • Backuprutiner har gåtts igenom och i vissa delar förstärkts.