GDPR

Gislen Software AB är ett svenskt helägt dotterbolag till Gislen Software Private Limited som ligger i Indien utanför EU.  Det gör att i praktiken all persondata hanteras av personal i Indien. För att uppfylla GDPR har vi därför skrivit ett biträdesavtal mellan dessa bolag. Dessutom när vi jobbar tillsammans med svenska kunder skriver vi då detta behövs biträdesavtal antingen direkt mellan den svenska kunden och det indiska moderbolaget eller back-to-back mellan den svenska kunden, vårt svenska bolag och det indiska bolaget. Såvitt vi förstår efterlever vi därför GDPR.

De områden som påverkar vår verksamhet där vi måste ta hänsyn till GDPR är:

  • Vår webbsajt som sparar personliga data som IP-adresser, cookies och information från formulär som våra besökare fyller i. Denna data sparas inom EU. Men i vissa fall kan information hanteras av vår indiska personal eller, då en besökare fyller i information i ett formulär, skickas via mejl till vår indiska mejlserver.  Vi använder också olika leverantörer som Google Analytics, HubSpot mfl dessa är då underbiträden till oss. Mer information om detta nedan.
  • Vi lagrar också data i våra system i Indien. Dessa kan finnas i mejl, dokument eller i ärendesystem. Alla dessa system finns i våra egna servrar i vårt kontor i Indien och vi använder fnv. såvitt vi vet inga molntjänster som lagrar data utanför EU (eller i fallet Google Analytics och HubSpot finns de avtal eller regler som krävs enligt GDPR på plats).
  • Vi är underbiträden för våra europeiska kunder som hanterar persondata om europeiska individer. Detta innebär att vår indiska personal kan på elektronisk väg få tillgång till data som finns lagrat på servrar inom EU. I de flesta fall är vår roll att supporta systemen och inte att förändra data. Men för att kunna utföra denna support måste vi i många fall ha direkt access till persondata. Vi har underbiträdesavtal med alla relevanta kunder baserade på EU kommissionens standardklausuler.

Vi lägger stor vikt vid att hantera våra kunders data säkert och att ingen obehörig skall få tillgång till data. Bortsett från att fullt ut följa kraven inom GDPR gör vi vårt bästa för att minska risken för att någon form av data, persondata eller annan kommer i felaktiga händer.

Vad innebär GDPR?

GDPR betyder “General Data Protection Regulation” – på svenska “den allmänna dataskyddsförordningen”. GDPR är ett direktiv från EU-kommissionen som gäller skydd av persondata för hela EU/EES. GDPR blev lag i EU/EES i Maj 2018 och ersatte Dataskyddsdirektivet från 1995. GDPR gäller för alla organisationer och myndigheter och reglerar hur de får spara och behandla persondata om för personer inom EU. Detta inkluderar hur de kan inhämta, spara, behandla och överföra data.

GDPR ger individer rätt att utan avgift kontrollera sina data. Individer har rätt att veta vilka uppgifter om dem organisationer har, begära korrigering, borttagning (när så är tillåtet – andra lagar och förordningar som tex. bokföringslagen kan i vissa fall göra detta omöjligt) och även överföring till annan organisation när så är tillämpligt. Enligt GDPR måste också organisationer rapportera avvikelser inom 72 timmar efter att de upptäcks. Dataskyddsmyndigheterna inom respektive land har också fått mycket större möjlighet att se till att direktivet efterlevs och kan döma organisationer att betala höga böter när de inte efterlevt direktivet.

För mer information om GDPR se den officiella webbsidan.

Information om hur Gislen Software har implementerat och efterlever GDPR

Vi har några sidor nedan om hur vi jobbar med GDPR.

Hur vi uppfyller GDPR

För att uppfylla GDPR måste vi se till att vi är transparenta med hur vår webbsida hanterar personliga data om personer inom EU. Mer detaljer om detta kan du finna i vår Integritetspolicy

Här är information om hur vår webbsajt hanterar information om besökare:

  • När en besökare når vår webbsajt ber vi om tillstånd innan vi sätter några kakor.
  • Vi använder kakor som sätts av WordPress, Google Analytics, HubSpot, HotJar och CloudFlare och vi kan emellanåt använda andra verktyg för att förbättra innehållet i vår webbsajt, användarerfarenhet eller SEO. Vi analyserar dock aldrig sådana data på en individuell basis.
  • När det gäller reklamservrar – vi använder inte någon reklamtjänst eller liknande på vår webbsajt.
  • Vi använder formulär där besökare kan mata in information. När så sker informerar vi användarna vad vi kommer att göra med data och ber om tillstånd innan någon data lagras eller skickas vidare.

I det följande stycket kan du så långt vi vet se en komplett lista på de kakor, teknologier, och partners som kan komma ifråga för att behandla dina persondata som antingen kan lagras på vår webbsajt, i partnerns system eller överföras till våra servrar i Indien. Notera att vi inte nödvändigtvis använder dessa data eller att en del av dem inte innehåller någon personlig information. Vi nämner dem bara eftersom de finns och de på något sätt kan ha med persondata att göra. Om du vill kontakta oss utan risk för att någon information om dig sparas i vår webbsajt rekommenderar vi att du ringer oss på telefon +91-2262 7541 under Indiska kontorstider. Notera att bara för att någon teknologi, kaka eller partner nämns nedan behöver det inte betyda att vi använder nu.

Om du tycker att denna webbsida inte följer den policy eller den standard vi deklarerar uppskattar vi om du kontaktar oss genom att använda vår kontaktsida.

Om någon av våra plugins eller partners inte följer GDPR?

Om vi finner att någon plugin eller teknologipartner vi använder inte följer GDPR kommer vi att ta bort dem så fort vi kan och kommer då också att begära att de radera alla eventuella data de sparat.

Kakor och teknologipartner vi använder

Information om teknologier, partner och kakor

Följande stycke beskriver vilka teknologier, partner och kakor vi använder för att skapa en bra upplevelse, hjälpa oss att utvärdera hur våra besökare använder vår webbsajt och hur vi samlar in personliga data och använder dem. Notera att kakor utan någon unik information inte kan användas för spårning.

WordPress

Denna webbsajt är byggd med WordPress. WordPress är ett verktyg för att bygga webbsajter men innehåller också olika tillägg (plugins). Några av dessa samlar in och sparar data själva. Vi använder tex. JetPack för Analytics. Jetpack och WordPress skall följa GDPR. För mer information se WordPress privacy policy och JetPack’s. En guide för hur man gör så att en WordPress sajt följer GDPR kan du hitta  här.

En WordPress-sajt samlar in personliga data genom:

  • Användarregistrering,
  • Kommentarer till sidor eller bloggartiklar,
  • Kontaktformulär,
  • Aanalytics och trafiklösningar,
  • andra data via olika verktyg och tillägg,
  • Säkerhetsverktyg och tillägg.

WordPress sätter själv en så kallad session cookie som heter PHPSESSID. Denna kaka används bara för ett besök och är därför tillåten enligt GDPR.

Här är några av de WordPress-tillägg vi använder för att samla in data och vi beskriver nedan hur vi jobbar för att detta skall vara tillåtet enligt GDPR.

Contact Form 7

Besökare kan fylla i olika formulär i vår webbsajt. Informationen skickas sen till vår mailserver i Indien via email till rätt person inom vår organisation. Informationen sparas också i en databas på webbservern. Vi har lagt till en checkbox som du måste checka för att bekräfta att du har förstått våra regler och villkor innan du kan spara och skicka några personliga data till oss. Vi använder din IP-adress för att checka om du finns inom EU/EES eller inte.

Very Simple Contact Form

För viss form av feedback använder vi detta tillägg. Vi har lagt till en GDPR-checkbox som du måste checka innan du kan skicka data.

Cloud Flare

Vi använder Cloud Flare som vår CDN (Content Delivery Network), vilket hjälper oss att förbättra prestanda på vår webbsajt och framför allt se till att det går lika fort var som helst i världen. Cloud Flare används också för viss analytics och skyddar mot DoS attacker. Cloud Flare säger på sin GDPR-informationsskida att de följer GDPR. Vi har ett Data Processing Addendum (DPA) med Cloud Flare.

__cfduid kakan sätts av CloudFlare och används för att identifiera individuella användare bakom en delad IP-adress och används för att se till att säkerhetssättningar kan fungera korrekt. T.ex. om det finns en laptop inom ett lokalt nätverk som är infekterad med ett virus men din laptop inte har det kan CloudFlare skilja på trafiken från den infekterade laptopen och din laptop. Kakan gör att CloudFlare kan identifiera varje unik klient. Men CloudFlare använder inte denna data för att identifiera dig som person.

Eftersom Cloudflare använder denna kaka för att identifiera både HTTP och HTTPS förfrågningar från kända användare så sätter vi inte denna kaka som “säker”. Detta är inte någon risk eftersom den inte innehåller några känsliga data.

Det är inte möjligt för oss att blockera denna kaka.

Facebook

Vi använder Facebook på olika sätt för att hålla kontakt med kunder, anställda, potentiella kandidater, vänner och prospekts. Vi postar på Facebook och emellanåt ger vi länkar till vår hemsida. I vår webbsajt använder vi också Facebookkakor för att spåra och analysera användares beteenden. Facebook förklarar vad de gör med kakor här. Facebooks policy kan du hitta här. Facebooks GDPR policy hittar du här.

Google Analytics

Vi använder Google Analytics för att förstå vilka besökare vi har, var de kommer från och hur de navigerar inom vår webbsajt. Följande kakor används av Google Analytics: _ga Google har ett generellt behandlingsavtal som beskriver hur de följer GDPR.

Hubspot

För att visa ett popup formulär när besökare tittar på vår sida och hjälpa till med marknadsföring använder vi HubSpot. All information du matar in i formulär på vår webbsajt fångas också med hjälp av. För detaljerad information om HubSpots GDPR-policy kan du hitta mer information här.

HotJar

Emellanåt har vi använt Hotjar för att analysera hur användare använder vår webbsajt. Det vi främst använt är HubSpots så kallade “heat maps”. Dessa hjälper oss att se var användare klickar och hur de bläddrar sig fram i vår webbsajt. Syftet är att förbättra användarupplevelsen. För detta används HotJars kakor. Vi har ett GDPR processing addendum (DPA) med HotJar.

Mer information om HotJar och deras kakor kan du finna här. Hotjar har också en separat GDPR-sida.

Twitter

Vi använder Twitter. Twitter beskriver hur de följer GDPR här.

Radera information

Enligt GDPR, såvida det inte finns lagar som förbjuder oss detta, har du rätt att begära borttagning av data vi sparat om dig. Notera dock att för att radera data som Google Analytics, HubSpot, Twitter eller Facebook sparat om dig kan du behöva kontakta dem direkt. Om du klickar på knappen nedan så raderar vi de kakor vi har satt. I vissa fall kan radering innebära anonymisering då all data som gör att det går att koppla data till dig tas bort och data då blir helt anonymt. GDPR tillåter detta.

Notera att för att blockera försök till ingrepp i vår webbsajt sparar vi IP-adresser då användare försöker logga in med felaktiga användarid eller lösenord. Dessa IP-adresser kommer inte att raderas eftersom lagring och behandling av dessa är baserat på giltigt skäl och bygger inte på tillåtelse.

Begär personliga data

Om du vill veta vilka data vi sparat om dig, begära förändring eller borttagning kan du fylla i nedanstående formulär::

    GDPR-Request

    Notera dock att enligt GDPR måste vi spara en borttagningsförfrågan även då vi raderar alla andra data.

    Vår väg till GDPR

    Här är hur vi genomförde vår plan för att uppfylla reglerna i dataskyddsförordningen:

    • Läsa på och förstå hur dataskyddsförordningen påverkar vår verksamhet ✔
    • Utse ett dataskyddsombud – Att behandla personliga data är inte en kärnverksamhet för vårt företag och dataskyddsförordningen kräver då inte att vi utser något dataskyddsombud ✔
    • Utreda vad som krävs för att vår Webbsida skall uppfylla dataskyddsförordningens krav ✔
    • Få på plats biträdesavtal med de företag som samlar in data i relation till vår webbsida och se till att dessa uppfyller förordningen ✔
    • Implementera ändringarna som behövs på webbsidan ✔
    • Utreda vad vi behöver göra för att hantera personliga data om våra kundkontakter och de kontakter vi har marknadsföring ✔
    • Ta fram ett utkast för biträdesavtal för våra svenska kunder ✔
    • Ta fram en strategi för hur vi kan uppfylla förordningen när det gäller de tjänster vi gör för våra kunder ✔
    • Utvärdera vilka kunder vi samarbetar med där biträdesavtal krävs ✔
    • Få på plats biträdesavtal med de kunder där detta krävs samt i de fall dessa skrivs back-to-back med vårt indiska moderbolag också ✔
    • Revidera säkerhetsaspekter som krävs för att vi skall uppfylla dataskyddsförordningen ✔
    • Implementera de ändringar och interna processer som krävs för att uppfylla dataskyddsförordningen ✔
    • Slutföra och kommunicera när vi anser att vi uppfyller dataskyddsförordningen ✔