GDPR - General Data Protection Regulation

Organisationen som är personuppgiftsansvarig behöver veta vilka personuppgifter som samlas in, varför och hur länge ni ska ha kvar dessa uppgifter i programmet. Vilka personuppgifter som kommer att behandlas i Fortnox tjänster vet bara ni som organisation. Fortnox har genomfört en utredning vilka personuppgifter som kan komma att behandlas, vilket är listade i Personuppgiftsbiträdesavtalet underbilaga 1.

Det finns en speciell kategori av personuppgifter som lagen tar upp och som du behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv. Läs mer om känsliga personuppgifter här .

Vilka känsliga personuppgifter som kommer att behandlas i Fortnox tjänster vet bara ni som personuppgiftsansvarig. Om ni till följd av er, era kunder eller leverantörers verksamhet kommer att behandla känsliga personuppgifter behöver ni innan en sådan behandling påbörjas ta reda på vilka säkerhetsåtgärder som kan komma att krävas vid sådan behandling. Vissa funktioner rekommenderas inte att användas om ni kommer behandla känsliga personuppgifter, vilket ni måste ta reda på. Vi har sammanställt en lista på funktioner i tjänsterna som inte bör användas om de uppgifter som framgår av tabellen kommer bli känsliga personuppgifter för er verksamhet. Funktioner som inte har säkerhetsnivå för behandling av känsliga personuppgifter

All behandling av personuppgifter i programmen är ni som kund personuppgiftsansvarig för. Fortnox är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Fortnox tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet .

All behandling av personuppgifter om er som kund, användare eller deltagare på våra utbildningar är Fortnox personuppgiftsansvariga för. Det kan handla om när du beställer Fortnox tjänster, kontaktar oss eller anmäler dig till någon av våra utbildningar. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vårt integritetsmeddelande .

Mot bakgrund av den s.k. Schrems II-domen i EU kan europeiska företag inte längre överföra personuppgifter till USA med stöd av Privacy Shield. Fortnox behandlar sina kunders personuppgifter huvudsakligen i Sverige, men i ett fåtal fall får detta konsekvenser för Fortnox och våra kunder avseende enskilda underleverantörer. Sedan domen har Fortnox arbetat löpande för att hantera de rättsliga konsekvenser som domen medför, bland annat att bedöma skyddet för överföringen och se över möjligheterna att byta ut amerikanska underleverantörer till motsvarande underleverantörer inom EU. Eventuella byten till europeiska underleverantörer kommer att ske i enlighet med gällande personuppgiftsbiträdesavtal. Parallellt bevakar Fortnox rättsläget från Integritetsskyddsmyndigheten och den europeiska dataskyddsstyrelsen.

Fortnox erbjuder Fortnox program och finansiella tjänster som innebär behandling av personuppgifter åt er räkning som regleras enligt något eller några av avtalen: 

Tjänsteavtal

Tjänsteavtal - Byråpartner

Tjänsteavtal - Finansiella tjänster

Vilket eller vilka avtal som gäller för er beror på vilka tjänster ni valt att använda och godkänt i Fortnox program. Referenser och hänvisningar till Tjänsteavtalet i avsnitten nedan avser avtalet Tjänsteavtal, som är först i listan ovan. Alla avtalen innehåller däremot den information som hänvisas till, även om den inte har samma kapitel eller punkt som i avtalet Tjänsteavtal. 

Avtalen benämns nedan, individuellt och gemensamt, som “Tjänsteavtalet”.

Det är två olika juridiska personer, nämligen Fortnox AB och Fortnox Finans AB, som blir personuppgiftsbiträde till er som kund för de olika tjänsterna. Däremot hanteras drift, underhåll och den tekniska säkerheten av moderbolaget Fortnox AB. Det innebär att det som framgår inom de tekniska säkerhetsåtgärderna är detsamma oavsett vilka tjänster ni använder. De organisatoriska säkerhetsåtgärderna är också oftast detsamma, men i och med att Fortnox Finans lyder under Finansinspektionen finns ytterligare instruktioner i uppfyllanden av kraven gentemot denna myndighet. 

I och med nya förvärv pågår en kontinuerlig process för att uppnå att alla bolag inom koncernen går under och efterlever samma tekniska och organisatoriska säkerhetsåtgärder i rollen som personuppgiftsbiträde. 

Fortnox Försäkringar är endast förmedlare av försäkringar och inte ett personuppgiftsbiträde till er som kund.

Varje bolag inom Fortnox koncernen som är personuppgiftsbiträde ska föra ett register över alla kategorier av behandling som utförs åt er räkning som personuppgiftsansvarig. Registret ska bland annat omfatta namn och kontaktuppgifter för det juridiska bolag som är personuppgiftsbiträdet, vilka kategorier av behandling som utförs för varje personuppgiftsansvariges räkning samt information om tredjelandsöverföring och säkerhetsåtgärder.

Denna information finns i Tjänsteavtalet. Kontaktuppgifter finns under 1.Bakgrund. Kategorier av behandling som kan komma att utföras åt er och information om tredjelandsöverföring är beskrivet i Personuppgiftsbiträdesavtalet Underbilaga 1 Specifikation över behandling av personuppgifter. Gällande säkerhetsåtgärder för underbiträden finns beskrivet under Anlitande av underbiträden längre ner på denna sida.

Ni behöver själva utgå ifrån vilka funktioner i programmet som ni använder och vilka personuppgifter ni kan komma att behandla. För de flesta funktioner sker behandlingen i Sverige, men för de fall det finns ett anlitat underbiträde kan behandling ske i ett tredje land. 

Tekniska säkerhetsåtgärder som ni kan behöva vidta finns det stöd för i programmet. Vilka tekniska säkerhetsåtgärder som ni bör vidta beror på de uppgifter ni kommer behandla i Fortnox. Mer om säkerhetsåtgärder finns längre ner.

Fortnox kan i sin tur anlita ett personuppgiftsbiträde, så kallade underbiträden i relation till er som personuppgiftsansvarig. Fortnox måste då ha ett skriftligt förhandstillstånd från er som personuppgiftsansvarig. Det kan ske generellt, men ska vid förändring av underbiträden informeras till er som personuppgiftsansvariga för att ha möjlighet att göra invändningar mot detta. Fortnox har också en skyldighet att teckna avtal med dessa underbiträden, för att de ska omfattas av samma skyldigheter som framgår av avtalet mellan Fortnox och er. 

I Personuppgiftsbiträdesavtalet punkt 6 framgår all information om anlitandet av underbiträden. 

Underbiträden som generellt har godkänts, gjordes i samband med godkännandet av Tjänsteavtalet. Dessa underbiträden finns listade i Personuppgiftsbiträdesavtalet Underbilaga 2. Vid förändring framgår det av punkt 6.3. i Personuppgiftsbiträdesavtalet att Fortnox ska meddela er. Det har historiskt skett i programmet alternativt kan det skickas via mejl eller andra kommunikationsvägar. Informationen ska meddelas till systemadministratören enligt Tjänsteavtalet 6. Vad är en systemadministratör och vad får en sådan göra? Där det också framgår att systemadministratören har rätt att invända mot behandlingen, vilket även framgår av Personuppgiftsbiträdesavtalet 4.4. Vid invändning mot behandling framgår det av utskicket hur detta ska framföras, oftast via de vanliga kommunikationskanalerna. 

Fortnox har ingått avtal med samtliga underbiträden. Det framgår av punkt 6.1. i Personuppgiftsbiträdesavtalet att Fortnox ska tillse att underbiträden är bundna av skriftliga avtal som ålägger dem motsvarande skyldigheter vid databehandlingen som de skyldigheter som gäller enligt Personuppgiftsbiträdesavtalet. 

Vid användning av underbiträden som innebär en tredjelandsöverföring är Fortnox skyldig att se till att säkerhetsåtgärder finns på plats. Vilka dessa är, för vilka funktioner och i vilka länder framgår av Personuppgiftsbiträdesavtalet Underbilaga 2.

I vissa fall kan det finnas en skyldighet att utse ett dataskyddsombud (DSO). Skyldigheten omfattar organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter. 

Fortnox har gjort en bedömning utifrån både rollen som personuppgiftsansvarig och personuppgiftsbiträde om en DSO behövs. Detta registreras juridiskt för respektive bolag hos Integritetsskyddmyndigheten, vilket finns för Fortnox AB, Fortnox Finans och Fortnox Försäkringar. Arbetet med dataskydd hanteras av samma dataskyddsteam inom hela koncernen, även om alla bolag inte har en registrerad DSO. Nya bedömningar sker baserat på förändringar och kan därför komma att förändra vilka bolag som kommer ha en registrerad DSO.

Fortnox har en skyldighet att på begäran samarbeta med IMY, som är tillsynsmyndigheten i Sverige.

Fortnox har inte blivit och är inte för närvarande under någon granskning av IMY och inte heller blivit föremål för varning, reprimand eller sanktion med anledning av brott mot

GDPR.

Fortnox har ett ansvar att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån är möter lämplig dataskydds standard. Det kan innebära pseudonymisering och kryptering av personuppgifter, att systemet är tillräckligt säkert och motståndskraftigt och att tester och utvärderingar genomförs. Åtgärder kan variera beroende på personuppgifternas art, men Fortnox har en skyldighet att ha skydd och alternativa val för att behandla känsliga personuppgifter. Det bör även nämnas att personuppgiftsbiträdets utökade ansvar inte medför att den personuppgiftsansvarigas eget ansvar minskar. Ansvaret för att se till att säkerheten kring de personuppgifter som behandlas är tillräcklig kommer att ligga på både den personuppgiftsansvarige och personuppgiftsbiträdet.

Tekniska och organisatoriska säkerhetsåtgärder för Fortnox program och tjänster finns beskrivet här: https://www.fortnox.se/om-fortnox/integritet-och-sakerhet/sakerhet

Om känsliga personuppgifter kan komma att behandlas i Fortnox tjänster vet endast ni som personuppgiftsansvarig. Om ni till följd av er, era kunder eller leverantörers verksamhet kommer att behandla känsliga personuppgifter behöver ni innan en sådan behandling påbörjas ta reda på vilka säkerhetsåtgärder som kan komma att krävas vid sådan behandling. 

Vissa funktioner rekommenderas inte att användas om ni kommer behandla känsliga personuppgifter, vilket ni måste ta reda på. Det finns rekommendationer från IMY som bland annat gett riktlinjer om att känsliga personuppgifter inte ska hanteras i mejl. Fortnox har som ansvar att erbjuda alternativa funktioner för behandling av känsliga personuppgifter, exempelvis finns e-faktura att välja istället för att skicka fakturor via e-post. Det är däremot den personuppgiftsansvariges ansvar att ta reda på vad som krävs och besluta om hur personuppgifterna ska behandlas.

En lista med funktioner i Fortnox program och tjänster som inte bör användas om uppgifterna enligt av tabellen för er verksamhet kommer bli känsliga personuppgifter finns beskrivet här: Funktioner som inte har säkerhetsnivå för behandling av känsliga personuppgifter

Organisatoriska säkerhetsåtgärder som behörigheter och sekretess baseras på behov av tillgång till personuppgifter för att utföra sina arbetsuppgifter och tillhandahålla tjänsten och support. Det framgår av 7.3. i Personuppgiftsbiträdesavtalet att personal som har tillgång till personuppgifter omfattas av en sekretessförbindelse som utformats i enlighet med bestämmelserna om sekretess i Tjänsteavtalet.

Om Fortnox skulle bli utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter som behandlas och en så kallad personuppgiftsincident identifieras, ska Fortnox utan onödigt dröjsmål underrätta er som personuppgiftsansvariga om detta. Det bör finnas bestämmelser för hur detta rapporteras och hanteras eftersom Fortnox måste agera skyndsamt för att mitigera skadorna som potentiellt kan ske.

Fortnox har en incidentprocess för att upptäcka, rapportera, hantera och informera detta till er. Processen kan inte delas i sin helhet externt, men en publik version finns att ta del av här: https://www.fortnox.se/om-fortnox/integritet-och-sakerhet/incidenthantering

Fortnox kommer informera er om personuppgiftsincidenter utan onödigt dröjsmål som framgår av punkt 8 i Personuppgiftsbiträdesavtalet. Det har historiskt skett i programmet alternativt kan det skickas via mejl eller via telefon. Informationen ska meddelas till systemadministratören enligt Tjänsteavtalet punkt 6. Vad är en systemadministratör och vad får en sådan göra?

Fortnox har en skyldighet att bistå er som personuppgiftsansvariga för att ni ska ska fullgöra era skyldigheter enligt förordningen. Fortnox bör bland annat hjälpa till att svara på begäranden om elektroniska registerutdrag och att bistå med att se till att säkerheten för behandlingen är tillräcklig.

Fortnox tillhandahåller funktioner direkt i programmet för att hantera begäran om registerutdrag, radering, ändring och dataportabilitet i form av export av uppgifter i ett läsbart format. Hur dessa funktioner hanteras hittar du på våra supportsidor under GDPR frågor och svar under rubriken Så gör du i Fortnox.