GDPR (EU-förordning 2016/679) trädde i kraft den 25 maj 2018 och ger individer inom EU/EES stärkt kontroll över sina personuppgifter. SoloBiz har sedan start byggts med dataskydd som en grundprincip ("privacy by design" och "privacy by default").

Centrala punkter i vår GDPR-efterlevnad:

• All data lagras i svenska datacenter
• Kryptering i vila (AES-256) och vid överföring (TLS 1.3)
• Personuppgiftsbiträdesavtal med alla underleverantörer
• Dokumenterade processer för registrerades rättigheter
• Regelbundna säkerhetsgranskningar och riskanalyser
• Incidenthanteringsplan med 72-timmarsrapportering

Vi följer GDPR:s grundläggande principer i all behandling av personuppgifter:

All behandling av personuppgifter vilar på en av GDPR:s sex rättsliga grunder. I vår verksamhet tillämpar vi följande:

• Fullgörande av avtal (Art. 6.1b): Behandling som krävs för att tillhandahålla Tjänsten enligt våra allmänna villkor, exempelvis kontohantering, fakturering och bokföring.
• Rättslig förpliktelse (Art. 6.1c): Behandling som krävs enligt lag, exempelvis bevarande av bokföringsdata i sju år enligt Bokföringslagen.
• Berättigat intresse (Art. 6.1f): Behandling för att förbättra Tjänsten, analysera användningsmönster och förhindra bedrägerier, efter intresseavvägning.
• Samtycke (Art. 6.1a): Behandling som grundas på ditt uttryckliga samtycke, exempelvis nyhetsbrev och marknadsföring. Samtycke kan återkallas när som helst.

Vi har implementerat omfattande säkerhetsåtgärder i enlighet med GDPR Art. 32:

Tekniska åtgärder

• Kryptering: TLS 1.3 för data i transit, AES-256 för data i vila
• Åtkomstkontroll: rollbaserad behörighetshantering (RBAC) med principen om minsta behörighet
• Autentisering: stöd för BankID och tvåfaktorsautentisering
• Nätverkssäkerhet: brandväggar, intrångsdetektering och DDoS-skydd
• Säkerhetskopiering: automatisk daglig backup med krypterad lagring
• Loggning: fullständig åtkomstloggning med spårbarhet

Organisatoriska åtgärder

• Sekretessavtal med all personal
• Regelbunden utbildning i dataskydd och informationssäkerhet
• Dokumenterade rutiner för all personuppgiftsbehandling
• Regelbundna säkerhetsrevisioner och penetrationstester
• Incidenthanteringsplan med definierade roller och eskaleringsvägar

Våra datacenter uppfyller internationella säkerhetsstandarder inklusive ISO 27001, SOC 2 Type II och har redundant infrastruktur för hög tillgänglighet.

Vi strävar efter att hålla all personuppgiftsbehandling inom EU/EES. I de fall tredjepartstjänster innebär överföring utanför EU/EES säkerställer vi att lämpliga skyddsåtgärder finns på plats i enlighet med GDPR kapitel V:

• Standardavtalsklausuler (SCC): EU-kommissionens godkända standardavtalsklausuler
• Adekvansbeslutet för USA: EU-U.S. Data Privacy Framework för amerikanska leverantörer som är certifierade
• Kompletterande åtgärder: kryptering och pseudonymisering där det bedöms nödvändigt

Betalningshantering sker via Stripe som är certifierat under EU-U.S. Data Privacy Framework. Kortuppgifter lagras aldrig på våra servrar.

I relationen till dig som Användare agerar SoloBiz som personuppgiftsansvarig för kontouppgifter och som personuppgiftsbiträde avseende den affärsdata du behandlar i Tjänsten (exempelvis dina kunders personuppgifter på fakturor).

Vi har tecknat personuppgiftsbiträdesavtal (DPA) i enlighet med GDPR Art. 28 med alla underleverantörer som behandlar personuppgifter för vår räkning. Dessa avtal reglerar:

• Ändamålet med och varaktigheten av behandlingen
• Typen av personuppgifter och kategorier av registrerade
• Biträdets skyldigheter avseende säkerhet och konfidentialitet
• Användning av underbiträden och villkor för godkännande
• Rutiner vid avslut, inklusive radering eller återlämnande av data
• Biträdets skyldighet att bistå vid registrerades rättigheter

Om du i egenskap av företagare behöver teckna ett personuppgiftsbiträdesavtal med SoloBiz för din egen personuppgiftsbehandling, kontakta oss på support@solobiz.se.

GDPR ger dig som registrerad ett antal rättigheter. Så här hanterar vi dem i SoloBiz:

Vi besvarar alla förfrågningar avseende registrerades rättigheter inom 30 dagar. I komplicerade fall kan tiden förlängas med ytterligare 60 dagar, varvid du meddelas inom den första 30-dagarsperioden.

I enlighet med GDPR Art. 33 och 34 har vi etablerade processer för att hantera personuppgiftsincidenter:

• Upptäckt: automatiserad övervakning och logganalys för att snabbt identifiera potentiella incidenter
• Bedömning och dokumentering: omedelbar bedömning av incidentens omfattning, påverkan och risk
• Rapportering till tillsynsmyndighet: anmälan till Integritetsskyddsmyndigheten (IMY) inom 72 timmar om incidenten sannolikt medför risk för registrerades rättigheter
• Meddelande till registrerade: om incidenten sannolikt medför hög risk meddelas berörda utan onödigt dröjsmål
• Åtgärder: omedelbara korrigerande och förebyggande åtgärder

Vi genomför konsekvensbedömningar avseende dataskydd (Data Protection Impact Assessment, DPIA) i enlighet med GDPR Art. 35 innan vi påbörjar behandlingar som sannolikt medför hög risk för registrerade, exempelvis:

• Införande av ny AI-baserad funktionalitet
• Storskalig behandling av finansiella personuppgifter
• Nya integrationer med tredjepartstjänster
• Väsentliga förändringar i datainfrastrukturen

DPIA:er dokumenteras och granskas regelbundet. Vid identifierad hög kvarstående risk konsulteras IMY innan behandlingen påbörjas.

Vi tillämpar följande lagringstider, i linje med principen om lagringsminimering:

Tillsynsmyndighet för dataskydd i Sverige är Integritetsskyddsmyndigheten (IMY). Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du alltid rätt att lämna in ett klagomål till IMY.

Har du frågor om GDPR-efterlevnad, dataskydd eller vill utöva dina rättigheter, kontakta oss: