Artiklar
Zettle.com

GDPR

Vad är GDPR?

Dataskyddsförordningen, GDPR, är en ny EU-lag som ställer högre krav på hur vi som bolag får behandla dina personuppgifter och den ger dig kontroll över dina personuppgifter. GDPR trädde i kraft den 25 maj 2018.

GDPR gäller alla bolag som hanterar personuppgifter om EU-medborgare, och introducerade långtgående ändringar av dataskyddsregler. GDPR introducerar striktare regler kring hur bolag som Zettle får samla in, hantera, överföra och använda personuppgifter.

GDPR har till syfte att möta de krav som följer med den digitala eran och att ge människor tillbaka kontrollen över sina personuppgifter. Vi gör allt i vår makt för att se till att detta uppfylls. För att läsa mer om hur vi arbetar med GDPR, läs vidare.

Vad innebär GDPR för mig?

I korthet innebär GDPR att du

  • har rätt att få mer detaljerad information om hur vi behandlar dina personuppgifter. Denna information tillhandahåller vi i vår sekretesspolicy
  • får utökade rättigheter att begära radering, motsätta dig behandling och kräva rättelse av dina personuppgifter.

Vill du lära dig mer om GDPR?

EU kommissionen har mycket värdefull information om personuppgifter och GDPR. Läs mer här.

Datainspektionen tillhandahåller också mycket värdefull information.

Vårt åtagande i förhållande till GDPR

Att hålla din information säker är en av Zettles högsta prioriteringar.

Som svenskt e-pengainstitut med tillstånd att ge ut elektroniska pengar och tillhandahålla betaltjänster enligt lagen om elektroniska pengar (2011:755) och lagen om betaltjänster (2010:751) står vi under Finansinspektionens tillsyn. Regelefterlevnad, inklusive efterlevnad av regler beträffande dataskydd, är centralt för oss – och vi tar dessa frågor på största allvar.

Vi har ett sekretess- och dataskyddsprogram på plats som är designat för att identifiera och förebygga risker relaterade till säkerhet och personuppgifter. Programmet har till syfte att säkerställa att vi kan efterleva GDPR. Utöver detta har vi även policies och processer för att följa och efterleva lagändringar.

Vår verksamhet är föremål för en rad interna riktlinjer och policies såsom våra interna dataskydds- och informationssäkerhetspolicies, som dokumenterar och beskriver Zettles inställning till och kontroller kring hantering av personuppgifter.

GDPR-projektet

Som del av vårt arbete att tillse att vi efterlever GDPR har vi etablerat ett beredskapsprojekt – ett omfattande initiativ med syftet att utvärdera hur GDPR slår mot våra nuvarande processer, policies och standarder, samt hur vi på Zettle kan efterleva GDPR.

Vi arbetar aktivt på vår GDPR-strategi och har ett projektteam som arbetar med strategi och implementering av GDPR.

Nedan följer några av de anpassningar till GDPR som vi introducerat.

En process för att tillvarata enskildas rättigheter
Enskilda är de individer som personuppgifter hänför sig till. Zettle har tagit fram utbildningar och processer som har till syfte att identifiera och svara på förfrågningar beträffande personuppgifter (till exempel rätten till kopia). Dessa inbegriper, men är inte begränsade till, processer om hur vi på ett adekvat sätt säkerställer identiteten på den som begär ut personuppgifter för att säkerställa att vi delar personuppgifter på ett säkert sätt, samt utbildning för hur anställda ska bemöta enskilda som utövar sina rättigheter såsom t.ex. rätten till dataportabilitet (dvs. rätten att ta med sig sina personuppgifter), rättelse samt radering av personuppgifter.

Utbildningsprogram för GDPR
Zettle har introducerat ett omfattande utbildningsprogram för GDPR som har till syfte att få samtliga anställda och medarbetare medvetna om betydelsen och vikten av korrekt hantering av personuppgifter, utbilda dem i hur de ska identifiera och svara på enskildas förfrågningar om att utöva sina rättigheter och hur de ska agera i fall av dataintrång.

Incidenthanteringsprocess- och policy
Zettle har antagit en incidentrapporteringspolicy och tagit fram kompletterande processer, som stöds av relevanta team, för att möjliggöra en konsekvent utvärdering och intern eskalering (vid behov) av incidenter, inklusive sådana som kan innefatta personuppgifter.

Laglig grund för personuppgiftsbehandling
Vi har gått igenom samtliga av våra aktiviteter och processer som relaterar till hantering av personuppgifter för att identifiera våra lagliga grunder för behandling av personuppgifter. Ändamålet är att tillförsäkra att den lagliga grund som vi stöder oss på är lämplig för den behandling som den avser. Vi för register över all vår behandling av personuppgifter för att vi säkerställa att vi uppfyller våra skyldigheter enligt artikel 30 i GDPR.

Gallringsprocesser
Zettle har implementerat adekvata processer för hur länge vi lagrar personuppgifter, hur vi tillser att principen om dataminimering samt lagringsbegränsning uppfylls, och att samtliga personuppgifter som lagras arkiveras och raderas eller anonymiseras och hanteras på ett lagligt sätt.

Uppdaterad sekretesspolicy
Vi har uppdaterat vår sekretesspolicy för att säkerställa att samtliga individer vars personuppgifter vi behandlar har blivit informerade om varför vi behöver deras personuppgifter, hur de används, vilka deras rättigheter är, vem vi lämnar ut personuppgifter till och hur vi säkerställer att individers personuppgifter skyddas på ett adekvat sätt.

Datalagring
Vi försöker alltid tillse att lagring av dina personuppgifter sker på servrar inom EU. I de fall överföring av personuppgifter till land utanför EES krävs kommer vi alltid att tillse att sådan överföring är laglig och att dina personuppgifter skyddas på samma sätt som de görs inom EES.

Internationella överföringar
Vi har implementerat processer och adekvata säkerhetsåtgärder för att tillse att dina personuppgifter hålls säkra oavsett var de behandlas. Vi följer ständigt hur internationella överföringar av personuppgifter regleras och vi är dedikerade till att ha en laglig grund för överföring av personuppgifter i enlighet med tillämpliga dataskyddsregler.

Hjälpte artikeln dig?

Can't find what you're looking for?

Contact Zettle Support