5 frågor om GDPR och Mystery Shopping

Vad är GDPR?

Den 25 maj 2018 träder GDPR, General Data Protection Regulation, i kraft i Europa och EES-länder. GDPR, även kallad Dataskyddsförordningen, ersätter PUL (Personuppgiftslagen) som tidigare gällt för personuppgiftshantering i Sverige. Enligt GDPR är varje företag som registrerar information om sina kunder eller medarbetare Personuppgiftsansvariga. Om företaget har anlitat ett annat företag att hantera information åt dem blir de följdaktligen Personuppgiftsbiträde.

Vad innebär GDPR för företag som använder Mystery Shopping?

I egenskap av leverantör av Mystery shopping blir vi som levererar en Mystery Shopping tjänst alltså personuppgiftsbiträde till den information om personal vi hanterar åt våra kunder. Som beställare av Mystery Shopping är du Personuppgiftsansvarig, och därmed är det viktigt att säkerställa främst detta:

Tydlig information till medarbetare
Alla medarbetare måste få grundlig information om vad som är syftet och innehållet i mystery shopping-programmet och hur rapporterna kommer att användas. Det är däremot viktigt att medarbetarna inte vet exakt när utvärderingen genomförs och av vem. Informationen kan därför röra under vilken tidsperiod mystery shopping kommer att genomföras och varför.

Minimera mängden lagrad information
Personuppgifter som går att koppla till en person får inte lagras under en längre tid än vad som är nödvändigt för ändamålet. När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras.

Begränsa åtkomst till data
Det är viktigt att de i organisationen som är behöriga att få tillgång till rapporter där individer kan identifieras behandlar rapporterna på ett professionellt sätt. Medarbetare har rätt att få ett utdrag av all information som finns lagrat om dem.

Be om samtycke eller hävda intresseavvägning
För de flesta personuppgiftsregistreringar gäller samtycke från den individ som berörs, men Personuppgiftsansvarig kan hävda annan grund för behandlingen av personuppgifter, exempelvis för att kunna fullgöra ett avtal eller en så kallad intresseavvägning. Intresseavvägning innebär att den personuppgiftsansvarige har ett berättigat intresse av att behandla personuppgifterna och detta intresse väger tyngre än den registrerade personens intresse av skydd för sin personliga integritet.

Om samarbetspartner i tredje land
Alla företag som verkar inom EU/EES lyder under GDPR. Om ni ger någon utanför EU/EES tillgång till persondata om EU/EES-medborgare måste ni säkerställa att de följer GDPR-reglerna.

När behövs ett Biträdesavtal?

Om ni vill att era medarbetare skall kunna identifieras i mystery shopping rapporterna (t ex för att kunna ge individuell belöning eller personlig coaching) behöver ni upprätta ett Biträdesavtal. Som personuppgift räknas också insamlad data som gör att en individ kan identifieras såsom till exempel personbeskrivningar men också dag, datum och tidpunkt för utvärdering. Biträdesavtalet reglerar bland annat syftet med datalagringen, samtycke (eller motiv till undantag), ert respektive leverantörens ansvar i förhållande till GDPR samt de rutiner som ska följas.

Hur vet jag om min Mystery Shopping leverantör är redo för GDPR?

Fråga din leverantör om deras beredskap och förhållningssätt gällande GDPR. Säkerställ att leverantören presenterar ett Biträdesavtal om denne ska hantera personuppgifter om din personal.

Var kan jag få mer information om vad som gäller?

Branschorganisationen MSPA (Mystery shopping Professionals Association) har fastställt standards och etiska regler för branschen. Se mer info på www.mspa-ea.org.

Här kan ni också läsa mer om GDPR på engelska och om Dataskyddsförordningen på svenska.