GDPR står för General Data Protection Regulation och blir lag i alla EU- och EES-länder från 25 maj i år. Många regler liknar dagens Personuppgiftslag men i flera avseenden skärps kraven. En av de mest framträdande ändringarna är att en sanktionsavgift om upp till 4 % av företags årsomsättning införs om man bryter mot reglerna.

GDPR gäller för i princip all automatiserad behandling av personuppgifter. Den som behandlar och bestämmer över personuppgifterna, dvs företaget som är researrangör, är personuppgiftsansvarig. Företaget måste dokumentera att man uppfyller kraven. GDPR gäller även för behandling av personuppgifter i ostrukturerat material som t ex e-post.

All behandling av personuppgifter måste följa några grundläggande principer

  • Laglighet och korrekthet: lagringen skall vara laglig och det skall finnas en s k rättslig grund för lagringen, antingen ett samtycke eller avtal med den som registreras.

  • Ändamålsbegränsing: ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen skall dokumenteras skriftligt. Ändrar man ändamålen måste man informera alla berörda.

  • Uppgiftsminimering: De uppgifter som samlas in skall vara adekvata och relevanta för ändamålet.

  • Korrekthet: De uppgifter som lagras skall vara korrekta och om det krävs för ändamålet uppdaterade.

  • Lagringsminimering: Personuppgifterna får inte sparas längre tid än vad som är nödvändigt för ändamålen. Därefter skall de raderas eller avidentifieras. För att säkerställa detta måste man införa tidsfrister och rutiner för radering eller avidentifiering.

  • Integritet: Tekniska och organisatoriska åtgärder måste finnas för att bara behöriga personer skall komma åt personuppgifter.

  • Ansvarsskyldighet: Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade, att dokumentera de behandlingar som pågår i organisationen och de överväganden man har gjort samt att ha dokumenterade interna riktlinjer för dataskyddet (en dataskyddspolicy).

Rättslig grund

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund är samtycke från den registrerade. Se mer under nyheter i Travelize nedan vilka förändringar som görs för att automatisera inhämtande av samtycke. För personuppgifter inhämtade före man inhämtat uttryckligt samtycke kan man behöva inhämta det. Det gäller t ex för de som beställt broschyr eller annat material och där man inte behövt godkänna samtycke eller om det i resevillkoren inte framgår alla regler för hantering av personuppgifter. För att underlätta att inhämta samtycke från dessa kommer nya funktioner i Travelize, se nedan under nyheter i Travelize.

Känsliga personuppgifter

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. För researrangörer kan det t ex röra som om olika allergier, sjukdomsbild med rörelsehinder samt t ex personnummer. Utgångspunkten är att det är förbjudet att hantera dessa, men det finns flera undantag. Flera utredningar pågår hur detta skall skyddas. Extra vikt bör i alla fall läggas när denna typ av information hanteras.

De registrerades rättigheter

De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt GDPR, bl a :

  • Rätt till information: Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri. I Travelize kan ni lagra er information så att kunden kan se den överallt där de bekräftar samtycke. Lägg samma information på en webbsida för att kunden alltid skall kunna se denna. En lång rad information skall framgå bl a personuppgiftsansvarig, dataskyddsombud, ändamål, rättslig grund, mottagare av uppgifter, överföring till tredje land. Lagringstid, de registrerades rättigheter, rätten att bli glömd. Med vårt GDPR-paket tar vi fram en text anpassad för dig och publicerar den.

  • Rätt till rättelse: På begäran från kund skall felaktiga uppgifter rättas. Detta hanteras som vanligt genom att kunden kan logga in och rätta sina uppgifter.

  • Rätt till radering (”rätten att bli glömd”): Kunden har rätt att begära att bli glömd. Speciell anonymiseringslösning införs därför som används dels på begäran från kund, dels för uppgifter som nått sin lagringsgräns. Se vidare under nyheter i Travelize.

  • Dataportabilitet: Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. I Travelize införs därför en möjlighet att skapa en XML- eller JSON-fil med personuppgifter som kan ges till kund på förfrågan och som underlättar överflyttning.

  • Skyldighet för de som behandlar personuppgifter

    De som behandlar personuppgifter måste se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.

    • Register över behandling: Personuppgiftsansvariga är skyldiga att föra ett register över sina behandlingar av personuppgifter. Till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland.

    • Säkerhet för personuppgifter: Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgifterna, både tekniskt och organisatoriskt. Kryptering av personuppgifter är exempel på åtgärder som minskar risken med behandlingen.

    • Anmäla personuppgiftsincident: Om det inträffar en säkerhetsincident som rör personuppgifter, till exempel ett dataintrång eller en oavsiktlig förlust av personuppgifter, måste man dokumentera incidenten och anmäla den till Datainspektionen inom 72 timmar. Man kan också behöva informera de registrerade till exempel om det finns risk för ID-stöld eller bedrägeri. Travelize övervakar systemen och hjälper till med detta om intrång detekteras.

    Mer information

    Mer information finns bl a hos Datainspektionen som är tillsynsmyndighet i Sverige: www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen

    Datatilsynet i Danmark: www.datatilsynet.dk/vejledninger/vejledninger-databeskyttelsesforordningen

    Datatilsynet i Norge: www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler

    Nya funktioner i Travelize som stöd för GDPR: www.travelize.se/ny-dataskyddsforordning-gdpr

Nyheter

Kristianstad Buss ny kund med helt integrerad hemsida och bokning samt bussbokning

2018-02-02

Kristianstad buss och Belton Travel är nu kund på vår senaste version av responsiv hemsida. Kristianstad buss använder också vår helt nya modul för att boka bussar. Kontakta oss om du är intresserad av mer information om enkel bussbokning! Se kristianstadbuss.se för inspiration.

Resteamet ny kund med senaste responsiv hemsida och bokning

2018-01-18

Resteamet är nu kund på vår senaste version av responsiv hemsida. Sajten är uppbyggd enligt konceptet Mobile First med stor vikt på säljande bilder. Bokning är helt integrerad och sajten innehåller många smarta funktioner för att leda besökaren till att boka. Se resteamet.se för inspiration.

Högbergs Buss ny kund med senaste version av responsiv hemsida och bokning

2017-12-20

Vi välkomnar Högbergs Buss som ny kund. De använder vår senaste version av responsiv hemsida. Sajten är uppbyggd enligt konceptet Mobile First med stor vikt på säljande bilder. Andra fördelar är helt integrerad bokning och många smarta funktioner för att leda besökaren till att boka, som t ex Vår Värld där man utifrån karta kan gå direkt till bokning av resor. Besök hogbergsbuss.se för inspiration.


Fler nyheter »

Referenser

Tack vare de olika moduler som finns i Travelize har vi idag allt från små nischaktörer till stora företag med försäljning genom många bolag och länder som kunder. Verksamheten varierar från bussresearrangörer, flyg arrangörer till destinationssällskap och incomingföretag.


Fler referenser »
  • Peer Gynt Tours
  • Easton Golf
  • Hallens Buss
  • K-rejser
  • Lotus travel
  • Discover Norway
  • Croatia Yacht Club
  • Temareiser Fredrikstad
  • Scandorama
  • Bromölla Buss
  • Turistrejser
  • Spitsbergen Travel
  • Byberg & Nordin Busstrafik
  • Ørslev Rejser
  • Lapoint Camps
  • Arenabussen
  • Perssons Resor
  • Traventuria
  • Berlinspecialisten
  • HorseXplore
  • InShape Travel
  • Orkla Reiser
  • OnHoliday
  • Resdax