Glöm inte följande 5 punkter i din GDPR-policy

En GDPR-policy, även kallad för integritetspolicy eller privacy policy, på engelska, utgör ett krav enligt GDPR. Att skriva en GDPR-policy behöver inte vara komplicerat. Vi har sammanfattat de 5 viktigaste delarna i en GDPR-policy.

Författare Docue
Uppdaterad 2022-05-23
Beräknad lästid 3 minuter

1. Grund och ändamål för personuppgiftsbehandlingen

För att man ska kunna behandla personuppgifter krävs att det finns en rättslig grund för behandlingen. I din GDPR-policy ska du därför ange lagstödet som personuppgiftsbehandlingen grundar sig på samt ändamålet med behandlingen. 

Följande lagstöd anges i EU:s dataskyddsförordning (GDPR): 

  • Den registrerades samtycke,
  • Ett avtal som den registrerade är part i,
  • Den personuppgiftsansvarige lagstadgade skyldighet,
  • Skydd av vitala intressen,
  • Allmänintresset eller den personuppgiftsansvariges utövande av offentlig makt, och
  • Den personuppgiftsansvariges berättigade intresse.

2. Den registrerades rättigheter

Du är skyldig att informera den registrerade om dennes rättigheter i din GDPR-policy. Den registrerades rättigheter enligt GDPR är följande: 

  • Rätt att få tillgång till personuppgifter,
  • Rätt att rätta personuppgifter,
  • Rätt att radera personuppgifter,
  • Rätt till begränsning av personuppgiftsbehandling,
  • Rätt att överföra personuppgifter från ett system till ett annat, och
  • Rätt att lämna in klagomål till behörig tillsynsmyndighet, vilket i Sverige är Integritetsskyddsmyndigheten.  

3. Lagring av personuppgifter

Ange hur länge du avser att lagra personuppgifterna i din GDPR-policy. Notera att det inte är tillräckligt att ange att personuppgifterna kommer att lagras så länge som det är nödvändigt för att uppnå ändamålet med personuppgiftsbehandlingen. Specificera lagringstiden ytterligare i din GDPR-policy. 

4. Utlämnande av personuppgifter till utomstående

Om personuppgifterna kommer att utlämnas till en utomstående part, som exempelvis ett externt personuppgiftsbiträde, eller, om personuppgifterna kommer att utlämnas till ett land utanför EU eller EES området, ska detta anges i GDPR-policyn. 

5. Den personuppgiftsansvariges kontaktuppgifter

Den registrerade har rätt att få information om den personuppgiftsansvariges kontaktuppgifter för att kunna tillvarata sina rättigheter, genom att exempelvis kontakta den personuppgiftsansvarige och begära radering eller rättelse av dennes personuppgifter.

En GDPR-policy för alla delar av organisationen

Upprättandet av en GDPR-policy, som delges den registrerade, är ett krav för efterlevnaden av EU:s dataskyddsförordning (GDPR). Vi rekommenderar att man även upprättar en intern GDPR-policy, som exempelvis delges de anställda. Upprätta en övergripande GDPR-policy för hela verksamheten och konkreta instruktioner för specifika delar av verksamheten. Följande GDPR-policy kan anpassas för samtliga delar av organisationen och användas internt såväl som externt: 

Undvik höga sanktionsavgifter

Genom att säkerställa att din verksamhet har en GDPR-policy som beaktar samtliga lagstadgade regleringar och principer, undviker du höga sanktionsavgifter till följd av underlåtenhet att efterleva GDPR. Docues plattform innehåller olika GDPR relaterade policys och avtal som är upprättade av jurister: 

Hitta andra avtal och dokument här och läs mer om vad våra kunder tycker om tjänsten här.