Den 25 maj 2018 trädde den nya europeiska dataskyddsförordningen GDPR i kraft. Den nya lagstiftningen kan verka krånglig och svår att förstå. Vi på Mynewsdesk har därför jobbat hårt med att att förbättra, uppdatera och anpassa vår produkt för att kunna följa nya lagstadgar. Högre krav ställs nu på oss som företag och vi välkomnar denna utveckling då vi tar integritetsskyddsfrågor på stort allvar.

På den här sidan hittar du svar på vanliga frågor om hur Mynewsdesk hanterar kraven från GDPR-regelverket.
För mer detaljerad information, vänligen se även vårt Personuppgiftsbiträdesavtal (Data Processing Agreement) och våra uppdaterade Allmänna Villkor.

1) Hur ser ansvarsfördelningen ut mellan kund och Mynewsdesk?
Som kund är du personuppgiftsansvarig för den insamling och vidarebehandling som sker genom er användning av Contacts inom ramen för ert användarkonto.

2) Täcker vårt avtal regler för GDPR?
Ja. Innan GDPR trädde i kraft rullade vi ut en ny version av våra Allmänna Villkor vilka i sin tur är kopplade till vårt Personuppgiftsbiträdesavtal (Data Processing Agreement). På så sätt uppfyller våra Allmänna Villkor funktionen av ett personuppgiftsbiträdesavtal. I det sammanhanget uppdaterade vi även vår Integritetspolicy och vår Datasäkerhetspolicy.

3) Vem ansvarar för den kontaktdata jag själv sparar i Contacts?
Som kund ansvarar du själv för att de kontaktlistor du har i Contacts hanteras på ett lagligt sätt enligt GDPR. Ni behöver själva bestämma vilken laglig grund ni tillämpar, och definiera rutiner gällande t.ex. varför och även hur ni lagrar och hanterar kontaktlistor.
Vi rekommenderar därför att ni alltid ser till att ha uppdaterade listor, så att de inte innehåller kontakter ni inte använder. Samtliga mejl som skickas från Mynewsdesk till era kontakter inkluderar en länk till vår Integritetspolicy för kontakter, och det finns också alltid en länk där kontakten kan välja att avregistrera sig från att motta mejl från ert nyhetsrum.
I vårt Personuppgiftsbiträdesavtal (Data Processing Agreement) kan du läsa mer i detalj om hanteringen av personliga data i Contacts.

4) Vem ansvarar för kontakter som är följare av mitt nyhetsrum?
Mynewsdesk säkerställer att följare behandlas enligt GDPR. De som följer ett nyhetsrum behöver alltid skapa ett konto på Mynewsdesk, vilket innebär att de accepterar våra Användarvillkor, som inkluderar Mynewsdesk integritetspolicy samt vår Integritetspolicy för kontakter.

5) Sker det en upplysning angående hanteringen av personliga data när en användare själv lämnar in information?
I samband med att en användare skapar ett konto och uppger personliga data accepterar hen våra Allmänna Villkor. Därutöver upplyser Mynewsdesk användaren om syften och ger information kring de aktuella databehandlingarna.

6) Finns det kontrollfunktioner som tillser att behandling av personliga data begränsas till det minsta nödvändiga?
Ja, vi har interna rutiner för att säkerställa att vi begränsar behandling av personliga data till våra specifika syften. Vi har också definierade rutiner för att säkerställa att våra leverantörer uppfyller GDPR kraven.

7) Vilken policy har ni angående dataöverföring till externa leverantörer?
Våra rutiner för överföring av personliga data är etablerade och finns dokumenterade. Generellt får ingen data överföras till externa leverantörer (inte heller mellan företag inom samma koncern) utan att informera företagsgruppens behandlingsansvarige (Data Controller) och/eller personuppgiftsombud (Data Protection Officer). Alla våra leverantörer har genomfört TIA (Transfer Impact Assessment) med Mynewsdesk.
Överföring av personliga data till utlandet är enbart tillåtet inom EU/EEA länder och till USA.
Vid överföring av personliga data till USA följer vi Integritetsskyddsmyndighetens rekommendationer och tillämpar EU:s standardavtalsklausuler (Standard Contractual Clauses – SCC) samt ytterligare kompletterande organisatoriska och tekniska åtgärder.
All annan överföring erfordrar tillkännagivande till företagsgruppens personuppgiftsombud (Data Protection Officer) och ett enskilt beslut från fall till fall.

8) Vilka är era huvudsakliga underleverantörer när det gäller hantering av data?
Våra viktigaste underleverantörer är Hetzner Online GmbH och Amazon Webservices som sköter vår hosting och lagrar data från Mynewsdesk på sina servrar. Dessa leverantörer behandlar data inom EU.

9) I vilka länder behandlar ni persondata?
Vi behandlar data inom EU/EEA (Sverige, Norge, Tyskland och Irland) och i vissa fall i USA. Vid överföring av personliga data till USA följer vi Integritetsskyddsmyndighetens rekommendationer och tillämpar EU:s standardavtalsklausuler (Standard Contractual Clauses – SCC) samt ytterligare kompletterande organisatoriska och tekniska åtgärder. Att behandla data innebär all typ av behandling av data så som lagring, överföring, beräkning osv.

10) Finns det information på vilka specifika adresser data hanteras?
Av säkerhetsskäl lämnar de flesta leverantörer inte ut någon detaljerad platsinformation. Mynewsdesk bedömer specifika gatuadresser inte vara nödvändiga för att möta GDPR-regelverket.

11) Finns fysiska och elektroniska skydd för lagring av personuppgifter? Hur ser det ut med kryptering av data och inbrottsskydd?
Vårt skydd utgörs av vår host Hetzner Online GmbH.

12) Finns det en process för radering av data?
Vi har definierat en process för att säkerställa att data raderas när den inte längre behövs eller när den behöver raderas på grund av juridiska skäl.

13) Finns stöd/funktion för att på begäran ta bort personuppgifter från berörd person?
Det finns stöd för detta och vi har definierat motsvarande processer och rutiner.

14) Finns säkerhetskopior på lagrade personuppgifter, och har rutiner etablerats för radering av dessa?
Vi lagrar säkerhetskopior av vår produktionsdatabas genom vår hosting partner Hetzner Online GmbH. Dessa kopior lagras i 3 år innan de tas bort. Rutinen för borttagning av persondata från lagrade säkerhetskopior i samband med radering från original-databasen omprövades och uppdaterades av oss i samband med att GDPR trädde i kraft.

15) Finns identifierade säkerhetsmässiga risker med hantering av register eller behandling av personuppgifter?
Vi har en regelbunden identifiering, evaluering och uppföljning för att åtgärda säkerhetsrisker om vi skulle stöta på dem.

16) Finns det en process för att upptäcka och rapportera säkerhetsincidenter?
Vi har en delvis automatiserad process för att upptäcka säkerhetsrisker och incidenter i vår databas. Därutöver har vi en definierad rutin för rapportering till berörda personer och Datainspektionen inom 72 timmar.

17) Kan jag få vårt egna personuppgiftsbiträdesavtal (Data Processing Agreement) undertecknat av Mynewsdesk?
Vi undertecknar inga individuella avtal eftersom Mynewsdesk som SaaS företag har ett eget Personuppgiftsbiträdesavtal (Data Processing Agreement) vilket är anpassat till vår tjänst.
Detta personuppgiftsbiträdesavtal är kopplat till våra Allmänna Villkor vilka blev godkända av kunden i samband med kontraktskrivningen.

18) Vem är behandlingsansvarig (Data Controller) och personuppgiftsombud (Data Protection Officer)?
Behandlingsansvarig (Data Controller) är NHST Media Groups styrelseordförande, medan Petter Irgens Gustafson innehar rollen som personuppgiftsombud (Data Protection Officer) för företagsgruppen samt alla dess dotterbolag. Därutöver har alla bolag inom företagsgruppen en egen behandlingsansvarig (Data Controller) med delegerat ansvar för sitt respektive affärsområde. Behandlingsansvarig för Mynewsdesk är företagets VD.

19) Vilka personuppgifter behandlas av Mynewsdesk?
Mynewsdesk behandlar följande personuppgifter
– i samband med användarkonton:
Namn, användarnamn/id, mejladress, användarlösenord, google-konto, jobbtitel, api signalement, namn på nyhetsrum, användningsdata från verktyget, titel, land, stad, telefonnummer, bild, Google Talk användarnamn, Skype; ICQ, AIM, Yahoo!Messenger, presentation, interessen, anställningar/uppdrag
– i samband med Contacts:
Mejladress, land, förnamn, efternamn, organisation, jobbtitel, jobbtelefon, mobiltelefon, adress, fax, postnummer, stad, land, webbsida, mejlhändelser (mottagna, öppnade, klickade)