GDPR- grundläggande för dig som företagare

Joanna Metzger, jurist

Publicerad 2022-12-06

Vad är GDPR?

Dataskyddsförordningen, eller GDPR som den också heter efter dess engelska namn General Data Protection Regulation, är en EU:förordning som reglerar hur personuppgifter får hanteras inom EU. GDPR gäller som lag i Sverige och alla företag eller organisationer som på något sätt sparar eller hanterar personliga uppgifter om privatpersoner är skyldiga att följa de strikta reglerna. Följer man inte GDPR riskerar man att få en tillsägelse (reprimand) från Integritetsskyddsmyndigheten (IMY) eller stora böter, beroende på hur allvarligt man brutit mot GDPR. En personuppgiftsansvarig kan också bli skyldig att betala skadestånd till den person vars personuppgifter hanterats felaktigt. 

GDPR finns till för att skydda t.ex. kunder eller anställda från att deras personuppgifter ska spridas i onödan. Innan GDPR började gälla 2018 fanns i Sverige personuppgiftslagen, PuL, som reglerade hur man fick hantera personuppgifter. 

Vad är en personuppgift?

Alla uppgifter som kan knytas till en person (inte företag) är en personuppgift. De vanligaste man kommer att tänka på är namn, personnummer och adress men också en e-postadress som innehåller någons namn eller en IP-adress kan vara personuppgifter. Dessa uppgifter får hanteras eller sparas om olika kriterier i GDPR är uppfyllda men man måste alltid ha en anledning till varför man sparar dem. Vissa känsliga personuppgifter får man som huvudregel aldrig hantera, t.ex. politiska åsikter, etnicitet, sexuell läggning o.dyl. Det finns även “mittemellankänsliga” personuppgifter som kallas för integritetskänsliga personuppgifter. Dessa är inte känsliga personuppgifter men ändå mer skyddsvärda, t.ex. löneuppgifter, uppgifter om att någon begått brott, personnummer eller resultat av personlighetstester. 

Vad måste man som företagare göra?

För att följa GDPR måste varje företag som samlar in och bearbetar personuppgifter för egna ändamål, så kallade personuppgiftsansvariga, följa de grundläggande principerna som är att man

  • måste ha stöd i GDPR för att få behandla personuppgifter
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är korrekta
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, t.ex. så att inte någon utomstående får tillgång till dem eller så de inte försvinner
  • ska kunna visa att man lever upp till GDPR och hur man gör det.

Dessa principer ska man uppfylla genom att

  • gå igenom vilken sorts uppgifter man hanterar och se till att man har laglig rätt att göra det. 
  • föra register över hanteringen. Mindre företag (under 250 anställda) måste dock inte föra register om hanteringen 1. bara är tillfällig, 2. sannolikt inte kommer att medföra en risk för de registrerades rättigheter och friheter, eller 3. inte omfattar känsliga personuppgifter eller personuppgifter om lagöverträdelser.
  • arbeta med skyddet för personuppgifter i företaget. Det finns inte beskrivet i lag hur man ska göra detta utan det är upp till varje företag att bestämma hur man behåller säkerheten genom att t.ex. ha begränsad åtkomst till personuppgifter eller att använda vissa program eller teknik. 
  • dokumentera hur man arbetar med personuppgifter, hur man tänker och vad man gör. Detta kan man göra genom t.ex. integritetspolicys, konsekvensbedömningar och att skriva rapporter vid incidenter. 

Den registrerades rättigheter

Den vars rättigheter hanteras hos ett företag, t.ex. en kund eller anställd har ett antal rättigheter som varje företag måste följa. Dessa är bl.a.

  • Rätten till information. Varje person vars uppgifter hanteras har rätt att få veta bl.a. vilka uppgifter det handlar om, vad som är ändamålet, den rättsliga grunden, hur länge de lagras, vem som har tillgång till dem och vem de kan kontakta för att bli borttagna. 
  • Rätt att få veta om personens uppgifter hanteras.
  • Rätt att få sina personuppgifter rättade, kompletterade, raderade och begränsade.

Som företagare är man skyldig att underlätta för privatpersoner att utöva sina rättigheter. Det kan man göra genom att tydligt ha information till vem man ska vända sig för att få något ändrat. Senast en månad efter att en privatperson inkommit med en begäran måste man agera på den. 

Personuppgiftsansvarig eller personuppgiftsbiträde

Den som hanterar personuppgifter genom att t.ex. samla in, lagra eller bearbeta dem och ska bestämma ändamålet för hanteringen kallas för personuppgiftsansvarig och är ytterst ansvarig för personuppgifterna. En personuppgiftsansvarig kan i sin tur anlita ett personuppgiftsbiträde för att utföra vissa tjänster t.ex. för marknadsföring, försäljning eller lagring av information. Ett avtal måste skrivas mellan den som är personuppgiftsansvarig och personuppgiftsbiträdet där biträdet binder sig att hantera personuppgifterna enligt GDPR och där också uppgifter om hanteringen ska framgå. Ett sådant avtal heter personuppgiftsbiträdesavtal. 


Mall för personuppgiftsbiträdesavtal kan du enkelt ladda ner på vår hemsida! Där hittar du även mall för integritetspolicy mm. Har du frågor om GDPR eller vill ha hjälp att skriva ett avtal? Kontakta oss på info@avtalsmallar.se




PARTNERS

Bokio
Coop
Förhandlat
Qred
Get A Newsletter