Sammanfattning
Vad är GDPR: GDPR skyddar privatpersoners personuppgifter och ställer krav på den som använder dessa.
Ingen personuppgiftshantering utan laglig grund: För att ett företag ska få hantera personuppgifter krävs laglig grund och ett ändamål med hanteringen.
Undvik sanktioner: Företag som inte följer GDPR riskerar att bötfällas. Det enklaste sättet att börja hantera GDPR-kraven är att använda följande modeller:
---
Vad är GDPR?
Skydd för personuppgifter: GDPR står för “General Data Protection Regulation” och är, trots det engelska namnet, svensk lagstiftning. På svenska kallas GDPR för dataskyddsförordningen. GDPR har ersatt den tidigare gällande personuppgiftslagen.
GDPR syftar till att skydda privatpersoners personuppgifter och kräver att företag som har tillgång till personuppgifter hanterar dessa på ett varsamt och korrekt sätt samt informerar sina kunder om hur man hanterar deras personuppgifter.
Definitionen av personuppgifter är bred: Med personuppgifter menas all typ av information som, direkt eller indirekt, kan knytas till en levande person. Här gäller det att tänka brett, betydligt fler uppgifter än namn och personnummer kan vara personuppgifter. E-postadresser, telefonnummer, foton och organisationsnummer för enskild firma är några ytterligare exempel som kan utgöra personuppgifter när de kan knytas till en levande person. Notera att anställdas personuppgifter omfattas av GDPR, inte enbart kunder eller leverantörers.
Ändamål för personuppgifter: Det krävs ett ändamål för att inhämta personuppgifter. Företaget måste därför bestämma ett konkret ändamål för att inhämta personuppgifter och ändamålet sätter ramarna för vilka personuppgifter som får inhämtas. Personuppgifter som inte bidrar till ändamålet ska inte inhämtas.
På vilka grunder får personuppgifter behandlas?
Ingen personuppgiftshantering utan laglig grund: Enligt GDPR krävs laglig grund för att över huvud taget hantera personuppgifter. Ditt företag behöver således, innan personuppgifter behandlas, avgöra på vilken grund sådan behandling kommer att ske. Nedan följer några av de lagliga grunder som GDPR ställer upp, som kan tillämpas i mindre företag:
Samtycke: Det finns ett samtycke till personuppgiftshanteringen. Dvs. när en person uttryckligen accepterat att personuppgifter hanteras, genom att exempelvis signera ett formulär eller kryssa i en ruta där villkoren godtas. Samtycket kan dock när som helst återkallas.
Avtal: Det är nödvändigt att behandla personuppgifter till följd av ett avtal. Exempelvis om ett leverantörsavtal har ingåts och vissa personuppgifter behöver hanteras för att fullfölja avtalet enligt de villkor som ställts upp i avtalet.
Förpliktelse: Om det finns en rättslig förpliktelse som innebär att ett företag måste hantera vissa personuppgifter i sin verksamhet. Exempelvis för en arbetsgivare som behöver hatera vissa personuppgifter för att säkerställa rappotering och betalning av skatt och sociala avgifter.
Ansvar och sanktioner
Vem är ansvarig? Det är företaget som är personuppgiftsansvarigt och alltså inte en enskild representant för företaget. Om du driver ett aktiebolag är det bolaget som juridisk person som är ansvarigt. Undantaget är om en person driver enskild firma, då ansvarar personen som driver firman för personuppgifterna eftersom en enskild firma inte är en juridisk person.
Företaget kan inte avsäga sig ansvar: Det är inte möjligt för ett personuppgiftsansvarigt företag att avsäga sig ansvar från personuppgiftshantering. Om en samarbetspartner anlitas, exempelvis för lönetjänster eller molntjänster, blir denna samarbetspartner i regel ett personuppgiftsbiträde. Ett skriftligt avtal behöver ingås mellan företagen för att reglerna villkoren för samarbetspartnerns hantering av de aktuella personuppgifterna.
Sanktioner: GDPR är inte tandlöst utan stora sanktionsavgifter kan utfärdas vid brister i personuppgiftshanteringen. Avgiftens storlek beror på flera omständigheter och det är därmed svårt att uppskatta storleken på förhand.
Fyra saker för mindre företag att tänka på kring GDPR
Policy: Företagare har en långtgående skyldighet att informera varför och hur personuppgifter behandlas. Informationen ska finnas lättillgänglig och vara skriven med ett klart och tydligt språk. Detta görs lämpligen genom en integritetspolicy (ibland benämnt personuppgiftspolicy).
Överlämning av personuppgifter: Fundera över om ni överlämnat personuppgifter till en samarbetspartner. Om ni som personuppgiftsansvariga överlämnar personuppgifter till en samarbetspartner behöver ett personuppgiftsbiträdesavtal ingås.
Gallring: Gallra regelbundet lagrade personuppgifter. För att inhämta personuppgifter finns i regel ett ändamål, och en laglig grund, och när personuppgifterna inte längre behövs för ändamålet ska de raderas. I praktiken kan det innebära att mail eller sparade dokument raderas när de inte längre behövs.
Känsliga uppgifter: Det är som utgångspunkt förbjudet att behandla känsliga personuppgifter, även om det finns undantag. Som känsliga uppgifter klassas bl.a. uppgifter om etniskt ursprung, politiska eller religiösa uppfattningar, sexualitet och medlemskap i fackföreningar. Behandla endast denna typ av uppgifter om ni klarlagt att ni har laglig rätt att behandla dem.
Hur kan Docue bidra i GDPR-arbetet?
Docue ger dig möjlighet att skapa högkvalitativa avtal och dokument, såsom integritetspolicys och personuppgiftsbiträdesavtal. Tjänsten innefattar modellklausuler skrivna av jurister och är så pass enkel att avtal och juridiska dokument kan skrivas utan inblandning av jurister eller annan extern rådgivning.
---
Tags: vad är gdpr, gdpr, personuppgifter
Relaterade dokumentmallar
Om Docue
Enskild firma eller börsnoterat bolag? Docue används i företag av alla storlekar.
Redo att testa?
Med Docue kan du skapa dokument värda över 10 000 kr på så lite som 10 minuter.
