GDPR & fakturor – det här gäller

Inför 25 maj 2018, när GDPR började gälla, så var det en del som undrade om man skulle kunna skicka några affärsdokument alls längre. En verksamhet som inte kan skicka fakturor kommer ju inte att överleva länge. Så är det dessbättre inte. Låt oss undersöka hur det är med fakturorna och se hur man kan resonera kring olika typer av personuppgiftsfrågor.

Fakturering > GDPR & fakturor

Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

Förutsättningar

Definition
Behandling: Allt innehav av personuppgifter, alltså också lagring och radering.

Så här säger lagtexten:
“En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”. Läs mer på dataskyddsförordningen

Grovt förenklat säger Dataskyddslagen (GDPR) att man bara får behandla personuppgifter när det är absolut nödvändigt för att uppfylla ett krav eller önskemål. Ett sådant krav eller önskemål kan komma från den registrerade, samhället eller den som vill hantera uppgifterna (företaget) och det måste ha stöd i lagen.

 Fakturera direkt – få snabbare betalt!

Exempel på lagstöd:

  • Företaget:

    • För att uppfylla ett avtal, t ex köpeavtalet.
    • Intresseavvägning: Nyttan för företaget är stor utan att den registrerade lider någon risk eller skada.
  • Samhället:

    • Skattekrav (Moms)
    • Företagsbeskattning (och krav på bokföring)
  • Den registrerade:

    • Samtycke: “Ja, jag ger er lov att…”

När det gäller fakturor så behandlar man de insamlade personuppgifterna med olika lagstöd i olika situationer.

  • Uppfylla sin del av köpeavtalet, dvs leverera och ta betalt.
  • Lagkrav: Betala moms, uppfylla kraven i Bokföringslagen med mera.
  • Intresseavvägning: Marknadsföring, dvs man får försöka få fler köp från sina kunder under en viss tid. (Datainspektionen har tidigare sagt 12 månader som en fingervisning.)

Det enda den registrerade kan motsätta sig av dessa behandlingar är marknadsföringen som man alltid kan spärra.

Information

Som alltid gäller att man måste lämna information när man samlar in personuppgifter. Man ska bl a informera om vad man tänker göra med uppgifterna, vilket lagstöd man har för detta, när man kommer att ta bort dem och hur den registrerade kan utöva sina rättigheter. Man ska dessutom göra det så att mottagaren säkert förstår informationen och möjliga konsekvenser av behandlingen.

Möjligheterna att informera kan vara olika. Det är lätt att informera i en webbutik men kanske svårare vid en telefonbeställning. Därför kan det kan vara bra att ge information också på fakturan/orderbekräftelsen.

Innehåll

Låt oss se på fakturans innehåll. Man kan dela upp innehållet grovt i tre delar:

Adressuppgifter

  • Namn; Adress; Kontaktuppgifter (telefon, e-post, kontaktperson)
  • Organisationsnummer (Företag)/Personnummer (Privatpersoner och enskilda firmor)

I den här gruppen är det vanligt med direkta personuppgifter.

Tänk på:

  • Om man gör affärer med en juridisk person, t ex ett aktiebolag, så är det inte personuppgifter och GDPR gäller inte.
  • Om aktiebolaget namnger en kontaktperson så är det en personuppgift och GDPR gäller för den.
  • Enskilda firmor är personer och uppgifterna om dem är personuppgifter.
  • Personnummer får behandlas när man behöver en exakt identifierande uppgift, t ex vid kreditförsäljning då det är viktigt att veta vem som är skyldig pengar.
  • Personnummer krävs också i samband med ROT/RUT eftersom Skatteverket måste veta vem man ska ge skattereduceringen.

Att tänka över:

  • Hur gör ni med personnummer i kundregistret när ni fått betalt och inte längre behöver en exakt identifiering?
  • Gör ni annorlunda i samband med ROT/RUT-avdrag som ofta är återkommande kunder?
  • Har ni en personuppgift som kundnummer, t ex personnummer eller telefonnummer?

Det fakturan avser

  • Artiklar; Mängd; Pris etc
  • Textrad (fri information)

Här finns väl inga personuppgifter? Jo då, det kryllar av dem.

Vi ska minnas att lagen gäller alla uppgifter som ensamma eller tillsammans med andra kan identifiera eller säga något om en person. Fakturans artikelrader är sådana indirekta personuppgifter. Det kan dessutom bli riktigt farligt här för de verksamheter som säljer artiklar kring vad lagen anger som “känsliga” personuppgifter:

  • Hälsa (apotek, naturmedicin, örtteer, litteratur)
  • Sex (hjälpmedel, litteratur)
  • Politiska eller filosofiska uppfattningar (bokhandlar, intresseorganisationer)

Det är lätt att bortse från dimensionen TID när man tänker på om uppgifter kan utgöra ett hot.

  • Tänk om någon kommer över historiken för ett apotek. Då kan man se att personen X ätit hjärtmedicinen S i flera år.
  • Firma Doftande örter har sålt njurteer till Z under 4 år.
  • Erotikbutiken säljer regelbundet olika typer av piskor och handbojor till Y.

Eftersom en faktura ska innehålla information om vad affären avser så måste de här uppgifterna finnas med. Däremot kanske man i vissa fall inte behöver ha en helt exakt artikelbeskrivning. Rosa handbojor i plysch kanske kan heta “Handboja typ A” och de svarta med kombinationslås “Handboja typ B”. Minns dock att man får ha med nödvändiga uppgifter och det är ju viktigt att mottagaren förstår fakturan, dvs vad köpet omfattar.
Lägg den här avdelningen med indirekta uppgifter på minnet tills vi kommer till olika sätt att skicka fakturorna. Viktigast att minnas är att det för vissa verksamheter kan finnas känsliga personuppgifter på fakturan.

Att tänka över:
“Kläder på postorder” säljer kläder i storlek XXXXXL under flera år till X. Säger det något om personens förväntade hälsa och är det därmed en känslig personuppgift?

Information på fakturan

På fakturan finns information om förfallodatum och ibland om olika villkor.
Som nämnts tidigare är fakturan dessutom ett bra ställe att informera om behandlingen av personuppgifter på. Men den har ofta begränsad plats och det är mycket information som ska ges.

Vår rekommendation är att samla all information om villkor och personuppgifter på er webbplats. Då kan ni hänvisa dit från fakturan via en kort text som denna: “Vi behandlar dina personuppgifter enligt gällande lagstiftning. Läs mer om detta och om dina rättigheter på www.foretaget.se/dataskydd."

Då hjälper ni de registrerade att behålla kontrollen över sina uppgifter. På webbplatsen finns det dessutom massor av utrymme för att kunna informera på ett sätt som alla kan förstå. Tänk dock på att lagen kräver att informationen ges när uppgifter samlas in så en bra webbplats löser inte ensam det behovet.


Sändningsvägar

När vi nu vet att en faktura kan innehålla känsliga uppgifter eller personnummer som också ska behandlas med stor försiktighet, då är det dags att fundera på hur fakturan ska skickas till mottagaren. 

E-post

Vanlig e-post är att jämföra med vykort. Det finns vissa saker man inte skriver på vykort och dem skriver man inte heller i ett vanligt mail.

Om man krypterar innehållet innan man skickar det så får man ett bra skydd. Dessvärre finns det inte något sätt att göra det om man vill kunna skicka till vem som helst utan förberedelser. Så utgå från att e-post = vykort = läsbart för alla.

Personnummer är inte en i lagens mening känslig uppgift. Den är däremot speciell i och med att den är exakt identifierande. Då följer att även om det inte är förbjudet att skicka den via e-post så bör man om möjligt undvika det.

Post

Ett brev skyddas av sitt kuvert. Det är också bara en begränsad krets som har tillgång till brevet under transporten. Säkerheten kring sin egen brevlåda hanterar man själv. Det är inte möjligt att massövervaka det man skickar på samma sätt som om man tjuvlyssnar på den utgående e-posten. Vi kan betrakta vanlig förseglad post som “säker”.

E-faktura

Med e-faktura menar jag inte att man skickar en pdf-fil med e-post. Jag menar att man använder ett särskilt system för distributionen där kryptering och annat skydd är inbyggt. Vår elektroniska fakturahantering uppfyller de kraven. Det är bara att anmäla sig, ansluta programmet och så är man igång. Själva tjänsten är gratis och man betalar bara för så mycket man nyttjar. 

När man skickar iväg fakturorna från programmet så krypteras informationen och överförs med samma säkra protokoll (https) som när du betalar över internet. Fakturan skickas via en växel som ser till att den kommer till rätt mottagare.

Om mottagaren inte är ansluten till elektronisk fakturahantering så kan fakturan skickas som brev (eller e-post).

Avslutning

Som nämnts i inledningen så är inte detta juridiska råd av typen “Gör så här så är du säker”. Lagen tar hänsyn till att alla verksamheter är olika och därför finns det ett visst utrymme för variation. Varje verksamhet måste ta ansvar för sina egna beslut.
Med det sagt kommer här några av mina reflektioner kring frågorna under “Att tänka på” och ett par länkar för den som är intresserad.

  • Hur gör ni med personnummer i kundregistret när ni fått betalt och inte längre behöver en exakt identifiering?
    • Lagen säger att man ska använda ett minimum av personuppgifter, bara de man behöver. Ofta behöver man inte exakt identifiering när fakturan är betald. Då bör uppgiften tas bort ur kundregistret. Man ska dock inte ändra i sin redovisningshistorik som ju dokumenterar vad som hände när det fanns laglig rätt att behandla uppgiften.
  • Gör ni annorlunda i samband med ROT/RUT-avdrag som ofta är återkommande kunder?
    • För företag som fakturerar med avdrag för RUT och ROT så är det ett krav från Skatteverket att man anger personnummer på fakturan. Fakturan får innehålla de uppgifter som är nödvändiga. Min bedömning är att man kan spara uppgifterna med intresseavvägning som grund men att man bör försöka få samtycke. Detta gäller den tid man har kontrakt på, t ex återkommande städning, eller t ex renoveringsjobb där man förväntar sig fler uppdrag inom en rimlig tid. Man bör informera så snart som möjligt, t ex på kontrakt eller orderbekräftelse. Allra senast på fakturan.
  • Har ni en personuppgift som kundnummer, t ex personnummer eller telefonnummer
    • Datainspektionen svarar i sina råd så här på frågan: “Är det tillåtet att använda personnummer som kundnummer?”
      “Ja, om det finns ett samtycke från den registrerade.”

Här kan du ta del av Datainspektionens information till privatpersoner om personnummer. De har ännu ingen information för företag (Juli 2018).

Jag vill påminna om att när de skriver “samtycke” så gäller lagens definition för detta. I den här lagtexten, understryks det att personen ska ha förstått alla risker fullt ut. Där påpekas också att ett samtycke kan återkallas när som helst - och vad gör ni då?

  • “Kläder på postorder” säljer kläder i storlek XXXXXL under flera år till X. Säger det något om personens förväntade hälsa och är det därmed en känslig personuppgift?
    • Ja, med en stor sannolikhet. Men uppgiften är troligen relevant på artikelrader och med tanke på att det inte rör sig om någon “osynlig” egenskap så skulle jag inte vidta någon åtgärd. 
    • En annan aspekt är frågan om var man skulle dra gränsen. Vilka storlekar är “hälsosamma”?

Och till sist: En läsövning på danska som visar var vi är på väg nu när lagen gäller lika i hela EU.

 

 Vill du veta mer? Kika på vår samlingssida om GDPR 

Lev ut din passion

Här är bokföringsprogrammet för dig som driver företag eller som har en helt-fantastisk-affärsidé-du-måste-förverkliga-nu. Bokföringen puttrar på tryggt och säkert i bakgrunden och skapas av sig självt, simsalabim.

Visma eEkonomi

Lev ut din passion