Integritet och säkerhet

GDPR och dataskydd

GDPR står för General Data Protection Regulation och är en dataskyddsförordning från EU som är en lag i Sverige för att skydda individers integritet. Du som kund har ett flertal saker som du behöver tänka på gällande behandling av personuppgifter. Du är som kund personuppgiftsansvarig för personuppgifterna i Fortnox program. Fortnox är personuppgiftsbiträde för dessa uppgifter.

Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att du genomför en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på behandling av personuppgifter är insamling, strukturering, lagring, bearbetning, spridning eller radering.

Du som personuppgiftsansvarig behöver veta vilka personuppgifter du samlar in, varför och hur länge du ska ha kvar dessa uppgifter i programmet. Vilka personuppgifter som kommer att behandlas i Fortnox tjänster vet bara ni som organisation. Fortnox har genomfört en utredning vilka personuppgifter som kan komma att behandlas, vilket har listats i följande dokument: Fullständig översikt av personuppgifter i Fortnox program

Det finns en speciell kategori av personuppgifter som lagen tar upp och som du som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter.

Det finns en speciell kategori av personuppgifter som lagen tar upp och som du som personuppgiftsansvarig behöver vara extra uppmärksam på, det är känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller uppgifter om hälsa och sexualliv. Läs mer om känsliga personuppgifter här .

Vilka känsliga personuppgifter som kommer att behandlas i Fortnox tjänster vet bara ni som personuppgiftsansvarig. Om ni till följd av er, era kunder eller leverantörers verksamhet kommer att behandla känsliga personuppgifter behöver ni innan en sådan behandling påbörjas ta reda på vilka säkerhetsåtgärder som kan komma att krävas vid sådan behandling. Vissa funktioner rekommenderas inte att användas om ni kommer behandla känsliga personuppgifter, vilket ni måste ta reda på. Vi har sammanställt en lista på funktioner i tjänsterna som inte bör användas om de uppgifter som framgår av tabellen kommer bli känsliga personuppgifter för er verksamhet. Funktioner som inte har säkerhetsnivå för behandling av känsliga personuppgifter

I behandlingen av personuppgifter finns det framförallt två roller som du bör känna till och beroende på vilken roll du har finns det olika ansvarsområden.

Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa den personuppgiftsbiträdes efterlevnad. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för den personuppgiftsansvariges räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna.

All behandling av personuppgifter i programmen är du som kund personuppgiftsansvarig för.

Fortnox är personuppgiftsbiträde och vidtar tekniska och organisatoriska säkerhetsåtgärder för att du ska känna dig trygg med att dina insamlade personuppgifter ska behandlas säkert och enligt lagen. Fortnox tekniska och organisatoriska åtgärder finns beskrivet under Säkerhet.

All behandling av personuppgifter om dig som kund, användare eller deltagare på våra utbildningar är vi personuppgiftsansvariga över när du beställer Fortnox tjänster, kontaktar oss eller anmäler dig till någon av våra utbildningar. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.

  • Laglighet, korrekthet och öppenhet
  • Ändamålsbegränsning
  • Uppgiftsminimering
  • Korrekthet
  • Lagringsminimering
  • Integritet och konfidentialitet
  • Ansvarsskyldighet


Vad de grundläggande principerna innebär kan du läsa om på datainspektionen.se .

I PUL har vi i Sverige haft en undantag där vi inte behövt tänka på hur personuppgifter behandlas, detta undantag heter “Missbruksregeln”. Det har inneburit att vi har kunnat haft personuppgifter i så kallat ostrukturerat material, vilket är löptext och fritext som exempelvis dokument, e-post, hemsidor eller anteckningsfält i system. Missbruksregeln försvinner nu i och med GDPR och innebär att du behöver kartlägga vilka personuppgifter som finns i allt ostrukturerat material och behöver börja hantera detta på samma sätt som med strukturerat material.

Inom varje EU-medlemsland finns en tillsynsmyndigheten som kontrollera efterlevnaden av dataskyddsförordningen. I Sverige heter denna myndighet Datainspektionen. På deras hemsida finns mer information och hjälp som du kan ta del av för att ta reda på vad du behöver göra. datainspektionen.se .