Den 25 maj 2018 var det officiella datumet då GDPR infördes i hela EU, både inför och efter införandet har det varit många frågor från företagare om vad man behöver göra och tänka på. I denna artikel guidar vi dig igenom vad GDPR innebär för just ditt företag.

Vad är GDPR?

Lagen reglerar hur och på vilket sätt företag och organisationer får hantera personuppgifter. Lagen gäller alla företag och organisationer inom EU som på något sätt behandlar personuppgifter men även företag och organisationer utanför EU om dessa behandlar personuppgifter tillhörande personer bosatta inom EU.

Vad är en personuppgift?

Till exempel så kan sådant som ett foto eller en bils registreringsnummer räknas som personuppgift i detta sammanhang.

Är det skillnad på olika personuppgifter?

Ja. Man skiljer i detta sammanhang på generella personuppgifter och särskilt känsliga personuppgifter. Som särskilt känsliga personuppgifter räknas sådant som hälsouppgifter, sexuell läggning, religion, politisk åsikt, etnicitet eller liknande uppgifter.

För att samla in, lagra och behandla uppgifter av denna karaktär gäller särskilt stränga regler.

När får jag samla in personuppgifter?

En tredje grund är om behandlingen sker efter en så kallad intresseavvägning där man måste kunna visa att intresset för behandlingen är välgrundat och avvägt mot den enskildes intresse för skydd av uppgifterna.

Intresset kan utgöra både ett så kallat allmänt intresse till exempel i samband med myndighetsverksamhet eller journalistik men också ett enskilt, ideellt eller kommersiellt intresse hos ett företag eller en organisation.

Vad behöver jag som företagare göra?

Det första du behöver göra är att skaffa dig grundläggande kunskap om GDPR om din verksamhet på något sätt innefattar behandling av personuppgifter. Har du anställd personal som behandlar personuppgifter så måste du ansvara för att de har adekvat kunskap om GDPR. För större företag som behandlar personuppgifter systematiskt så finns särskilda utbildningar i GDPR för personalen men om du har en mindre verksamhet så brukar det räcka med att lära sig grundprinciperna.

Nästa sak du behöver göra är att se över ditt kundmaterial och din kundkommunikation så att du ser till att inhämta samtycke från de kunder, presumtiva kunder eller andra personer vars personuppgifter du behandlar eller kan komma att behandla. Glöm inte heller bort att du som arbetsgivare behandlar personuppgifter för dina anställda också så passa på att se över avtal och liknande för personalen också.

En annan viktig sak är att du är skyldig att informera berörda personer om personuppgiftsbehandlingen, du bör därför se över och uppdatera den information som finns på hemsidor, i villkor och annat informationsmaterial. Följande punkter är du skyldig att informera om:

Att personuppgifter behandlas och i vilket syfte

Vem som är personuppgiftsansvarig

Hur lång tid uppgifterna sparas

På vilken grund uppgifterna behandlas till exempel samtycke

Om behandlingen sker med samtycke måste du informera om att personen har rätt att återkalla samtycket, ta del av uppgifterna samt få uppgifterna raderade

Att du är skyldig att på begäran rätta felaktiga eller missvisande uppgifter

Slutligen så bör du se till att du känner till GDPRs åtta grundprinciper:

1. Endast den som uppfyller lagkraven äger rätt att behandla personuppgifter

2. Den som samlar in uppgifter måste uppge syfte med insamlingen och får bara samla in uppgifter för det angivna syftet

3. Den som samlar in uppgifter får bara samla in sådant som är nödvändigt för  det angivna syftet

4. Insamlade personuppgifter måste vara korrekta och hållas uppdaterade

5. När de inte längre behövs för syftet så skall personuppgifterna raderas eller anonymiseras

6. Personuppgifter ska lagras säkert och skyddas från obehöriga

7. Den som behandlar uppgifter ska kunna visa att denne uppfyller lagkraven

8. Varje behandlande organisation ska ha en utsedd person som ska ansvara och styra över personuppgiftsbehandlingen samt bistå enskilda som vill ha hjälp eller information om hur dennes personuppgifter behandlas

Begreppet personuppgiftsansvarig - ett vanligt missförstånd

Begreppet personuppgiftsansvarig är den organisation eller myndighet som ansvarar för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är ett vanligt missförstånd att det skulle vara en fysisk person men det är alltså inte en anställd som är personuppgiftsansvarig utan organisationen i sig.  

Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med GDPR. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.

Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan innebära att man har antagit en policy med lämpliga strategier för dataskydd och ser till att genomföra den i organisationen. Uppförandekoder och certifieringar kan vara ett sätt att visa att man uppfyller GDPR.

Summering

GDPR kan verka krångligt och lite skrämmande för dig som är företagare och kanske bedriver en mindre verksamhet utan tillgång till experter eller jurister. Bli dock inte orolig i onödan och håll dig till några enkla principer:

Lär dig grunddragen och grundprinciperna för GDPR

Se till att få samtycke från dina kunder i strukturerad form

Se till att ditt kommunikationsmaterial till exempel hemsida och avtal är uppdaterade

Sök information om du blir osäker. Datainspektionen är den svenska myndighet som bäst kan svara på frågor om GDPR.

Källor:
Eugdpr, Datainspektionen