Free trial

10 enkla steg för att använda besöksräknare och följa GDPR

Det finns två parter när man använder besöksräknare, en personuppgiftsansvarig och ett personuppgiftsbiträde. Den personuppgiftsansvarige är den som bestämmer ändamålet med behandlingen och hur behandlingen ska ske. Personuppgiftsbiträdet är den person som behandlar personuppgifter för den personuppgiftsansvariges räkning.

För besöksräknare så är organisation som har kamerorna och använder besöksräknaren personuppgiftsansvarig medan teknikleverantören, såsom Indivd AB, är personuppgiftsbiträdet. 

Det innebär att den personuppgiftsansvarige ger teknikleverantören ett uppdrag att bearbeta bilddata. Behandlingen av personuppgifter handlar om att följa lagen och att säkerställa att kunder och besökare kan lita på behandlingen. Därför rekommenderar vi alla att följa GDPR, vara transparenta i behandlingen av personuppgifter, hålla informationen tydlig, enkel och använda experter vid osäkerhet.

Denna artikel är en förenklad guide om vad en organisation behöver göra för att följa GDPR. Rådfråga alltid en extern expert om du känner av några osäkerheter och behöver hjälp.

Legala skyldigheter när du använder besöksräknare

1. Den personuppgiftsansvarige ska implementera lämpliga tekniska och organisatoriska åtgärder, ett exempel är att använda och uppdatera din integritetspolicy med information om behandlingen och syftet.

2. Kontrollera om du behöver utse ett dataskyddsombud, en anledning till att du skulle behöva ett dataskyddsombud kan vara en storskalig behandling av personuppgifter.

3.Skapa ett register över behandlingen av personuppgifter. Att det inkluderar dess syften, kategorier, mottagare, laglig grund, säkerhetsåtgärder, regler för datalagring m.m.

4. Inför rutiner och processer för att radera personuppgifter eftersom du inte får lagra personuppgifter för alltid. Tänk på att olika typer av personuppgifter och olika behandlingar har olika krav och standarder. Du bör också ha rutiner ifall någon ber om ett registerutdrag. Vissa tekniker som exempelvis Indivds besöksräknare är baserad på dataskyddsprinciper och sparar därför aldrig någon bilddata.

5. Du måste skydda de personuppgifter som du lagrar. Överväg att införa IT- och informationssäkerhetspolicys, eftersom din egen personal och deras rutiner förmodligen är en av de stora säkerhetsriskerna.

6. Du behöver ha rutiner för att hantera incidenter. Överväg att skapa en policy som definierar hur du ska agera om något händer. 

7. Du måste göra en konsekvensbedömning av databehandlingen om din planerade behandling sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter. Du är också skyldig att göra en konsekvensbedömning av databehandlingen om din planerade behandling är i stor skala. Vänd dig till en expert om du inte har den nödvändiga kompetensen för att göra detta själv. Använder du dig av Indivds besöksräknare är detta något som vi hjälper alla våra kunder med.

8. Du måste informera alla registrerade om varje behandling du gör i det s.k. första och andra lagret. Det betyder att du måste ha en skylt vid varje ingång och uppdatera din integritetspolicy som definierar behandlingen.

9. Du som personuppgiftsansvarig behöver teckna ett biträdesavtal med din teknikleverantör, eftersom du ger en annan organisation i uppdrag att behandla personuppgifter (bilder) för din räkning.

10. Du bör se till att dina befintliga avtal följer GDPR.