Att starta enskild firma är normalt sett en långsam och tidskrävande process, men med vår hjälp kan du komma igång inom bara fem arbetsdagar. Paketet inkluderar allt du behöver för dig som ska starta eget för första gången. För bara 990 (exklusive moms) hjälper vi dig att komma i gång i dag.
Den 25 maj 2018 var det officiella datumet då GDPR infördes i hela EU, både inför och efter införandet har det varit många frågor från företagare om vad man behöver göra och tänka på. I denna artikel guidar vi dig igenom vad GDPR innebär för just ditt företag.
Lagen reglerar hur och på vilket sätt företag och organisationer får hantera personuppgifter. Lagen gäller alla företag och organisationer inom EU som på något sätt behandlar personuppgifter men även företag och organisationer utanför EU om dessa behandlar personuppgifter tillhörande personer bosatta inom EU.
Till exempel så kan sådant som ett foto eller en bils registreringsnummer räknas som personuppgift i detta sammanhang.
Ja. Man skiljer i detta sammanhang på generella personuppgifter och särskilt känsliga personuppgifter. Som särskilt känsliga personuppgifter räknas sådant som hälsouppgifter, sexuell läggning, religion, politisk åsikt, etnicitet eller liknande uppgifter.
För att samla in, lagra och behandla uppgifter av denna karaktär gäller särskilt stränga regler.
En tredje grund är om behandlingen sker efter en så kallad intresseavvägning där man måste kunna visa att intresset för behandlingen är välgrundat och avvägt mot den enskildes intresse för skydd av uppgifterna.
Intresset kan utgöra både ett så kallat allmänt intresse till exempel i samband med myndighetsverksamhet eller journalistik men också ett enskilt, ideellt eller kommersiellt intresse hos ett företag eller en organisation.
Vad behöver jag som företagare göra?
Det första du behöver göra är att skaffa dig grundläggande kunskap om GDPR om din verksamhet på något sätt innefattar behandling av personuppgifter. Har du anställd personal som behandlar personuppgifter så måste du ansvara för att de har adekvat kunskap om GDPR. För större företag som behandlar personuppgifter systematiskt så finns särskilda utbildningar i GDPR för personalen men om du har en mindre verksamhet så brukar det räcka med att lära sig grundprinciperna.
Nästa sak du behöver göra är att se över ditt kundmaterial och din kundkommunikation så att du ser till att inhämta samtycke från de kunder, presumtiva kunder eller andra personer vars personuppgifter du behandlar eller kan komma att behandla. Glöm inte heller bort att du som arbetsgivare behandlar personuppgifter för dina anställda också så passa på att se över avtal och liknande för personalen också.
En annan viktig sak är att du är skyldig att informera berörda personer om personuppgiftsbehandlingen, du bör därför se över och uppdatera den information som finns på hemsidor, i villkor och annat informationsmaterial. Följande punkter är du skyldig att informera om:
Att personuppgifter behandlas och i vilket syfte
Vem som är personuppgiftsansvarig
Hur lång tid uppgifterna sparas
På vilken grund uppgifterna behandlas till exempel samtycke
Om behandlingen sker med samtycke måste du informera om att personen har rätt att återkalla samtycket, ta del av uppgifterna samt få uppgifterna raderade
Att du är skyldig att på begäran rätta felaktiga eller missvisande uppgifter
Slutligen så bör du se till att du känner till GDPRs åtta grundprinciper:
Endast den som uppfyller lagkraven äger rätt att behandla personuppgifter
Den som samlar in uppgifter måste uppge syfte med insamlingen och får bara samla in uppgifter för det angivna syftet
Den som samlar in uppgifter får bara samla in sådant som är nödvändigt för det angivna syftet
Insamlade personuppgifter måste vara korrekta och hållas uppdaterade
När de inte längre behövs för syftet så skall personuppgifterna raderas eller anonymiseras
Personuppgifter ska lagras säkert och skyddas från obehöriga
Den som behandlar uppgifter ska kunna visa att denne uppfyller lagkraven
Varje behandlande organisation ska ha en utsedd person som ska ansvara och styra över personuppgiftsbehandlingen samt bistå enskilda som vill ha hjälp eller information om hur dennes personuppgifter behandlas
Begreppet personuppgiftsansvarig är den organisation eller myndighet som ansvarar för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är ett vanligt missförstånd att det skulle vara en fysisk person men det är alltså inte en anställd som är personuppgiftsansvarig utan organisationen i sig.
Den personuppgiftsansvarige måste se till att behandlingen sker i enlighet med GDPR. Dess personal får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.
Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen. Detta kan innebära att man har antagit en policy med lämpliga strategier för dataskydd och ser till att genomföra den i organisationen. Uppförandekoder och certifieringar kan vara ett sätt att visa att man uppfyller GDPR.
GDPR kan verka krångligt och lite skrämmande för dig som är företagare och kanske bedriver en mindre verksamhet utan tillgång till experter eller jurister. Bli dock inte orolig i onödan och håll dig till några enkla principer:
Lär dig grunddragen och grundprinciperna för GDPR
Se till att få samtycke från dina kunder i strukturerad form
Se till att ditt kommunikationsmaterial till exempel hemsida och avtal är uppdaterade
Sök information om du blir osäker. Datainspektionen är den svenska myndighet som bäst kan svara på frågor om GDPR.
Källor:
Eugdpr, Datainspektionen
Vårt kundcenter
08 123 503 29
Måndag-fredag: 10:30-17:00
Lördag-söndag: stängt
Helgdag: stängt