Överblick
Hur behandling av personuppgifter skall ske regleras av Dataskyddsförordningen och GDPR som vi också strävar att efterfölja.
- Vi är personuppgiftsansvariga för uppgifterna om dig som kund till oss och reglerar detta i vår Integritetspolicy (Personuppgiftspolicy inkl. cookie information).
- Vi är personuppgiftsbiträde för de uppgifter som du som kund lagrar i våra tjänster och reglerar detta i vårt Personuppgiftsbiträdesavtal (DPA/PUBA) och dess bilaga med instruktioner.
Du kan också vara intresserad av vårt användaravtal och hur vi hanterar säkerhet.
Vanliga frågor och svar FAQ
Är Oderland Personuppgiftsansvarig eller Personuppgiftsbiträde?
Ja båda. Se överblicken högst upp i denna artikel.
Lagras kortuppgifter hos Oderland?
Nej vi lagrar inte dina kortuppgifter utan dessa lagras på ett säkert sätt hos vår världsledande leverantör av kortbetalningar Stripe.
Kan Oderland skriva på vårt avtal?
Korta svaret — Nej, du får värdera om våra avtal stämmer med ditt behov.
Långa svaret — Kanske men eftersom de flesta av våra tjänster har fasta priser finns det låga marginaler för att skräddarsy behandling av tjänsterna som medför extra kostnader. Möjligen skulle tjänsten Managed Server kunna vara en grund för ett sånt specialavtal. Men i så fall är nästa hinder att ett avtal som kund inkommer med måste granskas av våra jurister för utlåtande om vad det innebär i förhållande till vårt standardavtal och detta kostar pengar som varken vi eller kunden vill stå för för en granskning som kanske inte ens blir ett köp. Men är du beredd på en managed server-tjänst och att ta kostnaden för granskning av avtalet och och den ökade kostnaden för att tjänsten skall skräddarsys efter ditt avtal om det behövs så är vi öppna för att undersöka det.
Hur skriver jag på avtalet?
Personuppgiftsbiträdesavtalet är en integrerad del av vårt användaravtal enligt vad som anges i just användaravtalet och det gäller för alla våra kunder automatiskt om inte annat förhandlats.
Kan jag som kund ge er instruktioner?
Ja ni har laglig rätt att komma med egna instruktioner i stället för dena bilaga med instruktioner som vi har tagit fram som bilaga till personuppgiftsbiträdesavtalet och som oftast täcker de behov våra kunder har av att följa GDPR. Ni kan i så fall mejla dessa till support@oderland.se så kan vi kolla på att ta fram en specialanpassad tjänst åt er. (Om instruktionerna då behöver granskas av jurister har Oderland rätt till ersättning för detta. Men vi frågar i så fall kund först innan vi skickar vidare dem för granskning.)
Hur hanteras loggar, trasiga hårddiskar och backuper?
Server-loggar för åtkomst, fel och brandvägg raderas automatiskt som längst efter tre månader. Vi har sekretessavtal som täcker hårddiskar som behöver reklameras till leverantörer. Vi skriver även över datan om möjligt på disken innan de skickas iväg för destruering. Backuper gallras i enlighet med vår integritetspolicy.
Var lagras mina mail?
Om du använder mailen i våra tjänster så lagras den på våra servrar i Sverige.
Hur hanteras besöksstatistik?
I cPanel i våra webbhotellstjänster så lagras automatiskt besöksstatistik detaljerat under ett dygn och anonymiserat långsiktigt. Observera att ni kan behöva informera era besökare om detta. I den här artikeln om besöksstatistik kan ni läsa mer om hur ni kan gallra, göra utdrag, radera eller stänga av besöksstatistik som lagras i er tjänst.
Kan jag lagra denna typ av personuppgifter i era tjänster?
Vi har gjort vårt bästa för att uppfylla de krav som GDPR ställer på oss. Det går att läsa om detta i vårt personuppgiftsbiträdesavtal. Vi kan tyvärr inte kontrollera vilken typ av personuppgifter våra kunder lagrar utan vi tillhandahåller bara plattformen som är GDPR-anpassad men det är dock fortfarande fullt möjligt att lagra personuppgifter på ett felaktigt sätt i vår plattform trots detta. Om ni är osäkra på vilka krav som ställs på er och hur ni skall uppfylla dem i våra tjänster rekommenderar vi att ni kontaktar Integritetsskyddsmyndigheten eller jurister för rådgivning.
Hur skall jag hantera lagring av mail?
Era mail innehåller ofta personuppgifter och bör därför också behandlas på samma sätt som andra personuppgifter ni lagrar i våra tjänster. Integritetsskyddsmyndigheten har en bra guide här om hur ni skall resonera runt detta.
Min tjänst är raderad kan ni återställa den?
Det beror på hur långt tid det har gått. Vi kan återställa en tjänst om backuperna inte har fasats ut än från servern. Den tiden står i vår policy och för webbhotell är det I skrivande stund tre månader efter förfallodatum / due date. Därefter är en återställning av tjänsten tyvärr inte längre möjlig.
Schrems II
Tidigare i vår Integritetspolicy redovisade vi amerikanska leverantörer vi hänvisade till Standard Contractual Clauses (SCC) avtal med dessa. Dock blev det missvisande efter Schrems II då många av dem inte gjorde några behandlingar av personuppgifter utan vi hostade deras mjukvara själva. Därför har en rejäl genomgång gjorts för att förtydliga vilka behandlingar som faktiskt görs av personuppgifter.
https://www.oderland.se/villkor-policies/integritetspolicy/
Dessutom så ser vi till att tex. i de sällsynta fall där vi inte kan lösa problem med mjukvaror från leverantörer själva och behöver behövt ta hjälp från deras tekniker så får de INTE tillgång till en live server med kunddata utan vi återskapar felet på en demo-server där felsökning kan ske säkert.
Personal som befinner sig utomlands använder en två-faktor-autentiserad och lösenords-skyddad VPN tunnel och har krypterade diskar. Utomlands är också genom rutin ev. ny behandling av personuppgift begränsad till endast läsning.
Sedan har vi kvar några enstaka leverantörer som tex. Kortbetalning där personuppgifter behandlas och vi har en amerikansk leverantör. Där har vi tyvärr inget annat val än att förlita oss på Standard Contractual Clauses (SCC) men att då i enligt rekommendationer stärkas upp skyddet för våra kunder med utökade säkerhetsåtgärder. Utökade säkerhetsåtgärder innebär bland annat att vi har en striktare systematisk uppföljning av dessa leverantörens säkerhetsåtaganden och systematiskt gör riskbedömningar runt personuppgifter till dem. Dessutom är vi redo att byta ut dem vid ev. upptäckta brister. Som du kan se i vår policy i länken ovan är kontaktpunkterna mycket få.
Här är det också lämpligt att påminna att vi rekommenderar vår Managed Server tjänst i stället för webbhotell för de kunder som vill ha större möjlighet att säga till om serverns konfiguration och installerade mjukvaror.
Hur skall jag följa GDPR i WordPress?
Det finns inget enkelt svar utan du får läsa på hos Integritetsskyddsmyndigheten, googla fram färska längre artiklar och eventuellt kontakta en jurist för rådgivning.
Observera listan nedanför är ingen komplett juridisk rådgivning utan bara några självklara punkter för att komma igång med sitt GDPR arbete på sin nyinstallerade WordPress tex.
- Använd hosting som har ett Personuppgiftsbiträdesavtal som Oderland.
- WordPress inkluderar nu en halvfärdig Privacy Policy man kan göra klart och aktivera under settings. Berätta där om vad du lagrar, vem du delar den med, varför och hur länge och vilken rättslig grund du har.
- När du redigerar denna sida för Privacy Policy som WordPress inkluderar så har de en notis högst upp med en länk som tar dig till en sida där plugin om de stödjer detta kan ge dig rekommenderade formuleringar att ta med. Tex. så har LiteSpeed cache pluginet om du installerat det en text de rekommenderar.
- WordPress har nu dessutom funktioner för att exportera och radera personuppgifter under tools.
- Kombinera detta med gratis SSL som vi erbjuder
- Och installera ett cookie policy plugin där du kan redovisa vilken spårning du gör.
Hur skyddar jag personuppgifter?
Dels finns det inbyggda funktioner i våra tjänster som kan användas men dessutom så är webbhotellstjänster i sin natur väldigt flexibla och öppna och man kan därför skapa egna åtgärder och olika plattformar man installerar kan ha egna lösningar. Det är därför viktigt att du själv undersöker en rimlig nivå för din användning.
- Kryptera trafiken till sidan med tvingande HTTPS. Detta kräver att SSL-certifikat är utfärdat på domänen men också att det faktiskt används. Vi har guider som berör detta ämne här och här.
- Aktivera krypterad anslutning i mail-klienter så att mailen skickas krypterat. I webmail räcker det med att hänglåset visas i adressfältet. (Observera att mail mellan mailservrar fortfarande skickas okrypterat vilket är anledningen till att myndigheter och stora företag oftast inte skickar några personuppgifter över mail. )
- Överväg att kryptera er mail ytterligare genom tex PGP vi har en guide om detta här. Dock kan detta vara tekniskt svårt och en lättare väg kan istället vara att kunder får logga in på er sida och kommunicera med er igenom ett ärendehanteringssystem.
- Vi stödjer kryptering i andra situationer som SSH och SFTP.
- Vi stödjer 2FA (Två-faktor autentisering) vid inloggning både för Kundavdelningen och för cPanel.
Vad har jag för rättigheter?
Äntligen är dina rättigheter det de alltid borde varit. Bland annat att du har rätt att veta om vi behandlar personuppgifter om dig och att kräva att vi raderar dessa om det inte står i konflikt med vårt uppfyllande av avtal med dig eller lagkrav på oss. Men det är många fler rättigheter än så och Integritetsskyddsmyndigheten som är granskande myndighet förklarar det kanske allra bäst här. Observera att hosting-tjänster är relativt väl förberedda för att tillvarata dina rättigheter då du själv kan se, ändra och radera det allra mesta. Och avslutar du din tjänst hos oss kommer vi per automatik att gallra ut information i enlighet med vår Integritetspolicy.