Personuppgiftspolicy
För GDPR-säker behandling av personuppgifter
Kärt barn har många namn. Personuppgiftspolicy, sekretesspolicy, integritetspolicy eller dataskyddspolicy är mer eller mindre synonymer. Dataskyddsförordningens (GDPR:s) ikraftträdande den 25 maj 2018 har inneburit stora omställningar för alla företag som på något sätt lagrar och hanterar personuppgifter. Oavsett om ditt företag har sitt säte inom EU/EES eller i ett tredjeland (t.ex. USA) så är du skyldig att följa GDPR om du samlar data från minst en potentiell kund i EU/EES. Kraven är hårda och kan kännas väldigt komplicerade. I denna text kommer vi gå igenom vad du bör tänka på när du implementerar en personuppgiftspolicy för att efterleva dataskyddsförordningens krav.
Clara – jurist inom IT-rätt, dataskydd och GDPR
Vi hjälper dig med:
- Kostnadsfri första kontakt
- Skriva eller granska policys
- GDPR-revision av ert företag
Ta kontakt
Fri första kontakt med jurist. Fortsatt hjälp alltid till fast pris efter överenskommelse.
1. Vad är en personuppgiftspolicy?
En personuppgiftspolicy innehåller information om hur ett företag behandlar och skyddar personuppgifter. Mer specifikt beskriver den hur personuppgifter samlas in, hur uppgifterna används och hur de lagras hos företaget. Sådan information måste enligt GDPR finnas tillgänglig för alla personer vars personuppgifter företaget hanterar.
Ibland kallas personuppgiftspolicy även sekretesspolicy, integritetspolicy eller dataskyddspolicy. På engelska brukar begreppet Privacy Policy beteckna alla fyra svenska synonymer.
2. Vilken information räknas som personuppgifter?
Personuppgifter innefattar all slags information som kan knytas an till en levande person. Det kan röra sig om namn, adress och personnummer. Även fotografier och ljudinspelningar av en person som lagras digitalt räknas som personuppgifter. Så länge uppgiften kan hänföra sig till en specifik individ så räknas det som en personuppgift och faller under GDPR:s reglering.
3. Vad kan Integritetsskyddsmyndighetens (tidigare Datainspektionens) sanktion bli om man gör fel i behandlingen av personuppgifter?
Integritetsskyddsmyndigheten (IMY) kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen ska betala en sanktionsavgift. Avgiften kan som högst vara 20 miljoner euro eller fyra procent av företagets globala årsomsättning, beroende på vilket belopp som är högst.
Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse det är som överträds, dels på omständigheterna i det enskilda fallet. Till exempel tittar IMY på hur allvarlig överträdelsen är, skadans storlek, vilka typer av personuppgifter det rör sig om (till exempel om det rör sig om känsliga uppgifter) och om överträdelsen skett avsiktligt eller inte. Sanktionsavgiften ska vara effektiv, proportionerlig och avskräckande.
Om ditt företag webbplats använder sig av kakor/cookies måste du enligt lag informera webbplatsbesökarna om att cookies används, vad de används till och hur man kan välja bort dem. Denna information ska tydligt framgå i personuppgiftspolicyn eller i en separat cookiepolicy.
Användarens samtycke måste finnas för användningen av cookies (med undantag för nödvändiga cookies), detta kan lösas genom att ha en ”pop up” på hemsidan som användaren måste godkänna för att kunna fortsätta använda hemsidan.
5. Vad bör man tänka på om man installerat spårningskod från Facebook Pixeln, Google Analytics eller t.ex. Linkedins Insight Tag?
Dessa verktyg behandlar personuppgifter som till exempel webbplatsbesökares IP-adresser och vistelseort. Ibland även data om personens ålder och kön. Verktygen använder metoder för pseudonymisering av personuppgifter, som exempelvis maskering eller kodning. Även om uppgifterna är pseudonymiserade utgör de personuppgifter och faller därmed under GDPR:s reglering. Det innebär att samtycke från webbplatsbesökaren krävs.
6. Hur ska dataskyddspolicyn vara utformad för att jag ska kunna använda personuppgifterna för riktad annonsering/mejlutskick m.m.?
Även här krävs ett giltigt samtycke från personen vars uppgifter hanteras. Personen måste även kunna få tillgång till information om hur personuppgifterna lagras och hanteras, detta ska framgå av personuppgiftspolicyn.
7. Vad krävs för att ett samtycke ska anses vara giltigt?
För att ett företag ska kunna säkerställa att samtycket är giltigt så måste det för det första vara frivilligt. Enligt kravet på frivillighet måste användaren ha en möjlighet att kunna tacka nej till kakor/cookies eller lagring av personuppgifter. Vidare krävs någon form av aktiv handling för att samtycket ska vara giltigt, detta kan lösas genom att användaren själv behöver kryssa i att denne godkänner personuppgiftshanteringen. Det räcker således inte med en på förhand ikryssad ruta, utan denna måste aktivt kryssas i av användaren.
8. Hur ska jag hantera personuppgifter från eventuella leads?
Enligt GDPR har individen som är berörd rätt att få omfattande information om vilka uppgifter du samlar in, till vilket syfte och hur du har tänkt att hantera dessa. All denna information kan du ha med i din personuppgiftspolicy. En bra rutin är att skicka ut ett e-postmeddelande med denna information till alla som du har registrerade i ditt kundhanteringssystem (CRM-system).
9. Hur ska jag hantera personuppgifter från kunder som köpt mina produkter eller tjänster?
Det är viktigt att redan innan insamlingen av personuppgifterna tänka igenom och dokumentera för vilka ändamål som ni kommer samla in, bearbeta, lagra och på andra sätt behandla användarnas personuppgifter.
Personuppgifter får endast sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen. När dessa uppgifter inte längre behövs ska de raderas.
10. Vad ska jag tänka på rörande molntjänster och geografisk datalagring (Microsoft, Google m.m.?
Om ditt företag använder sig av molntjänster är det viktigt att ha koll på var personuppgifterna lagras (det vill säga, var leverantören av molntjänsten har sitt säte). Om molntjänsten kommer från ett land utanför EU/EES gäller, utöver GDPR:s krav på personuppgiftshantering, att landet uppfyller kraven på en adekvat skyddsnivå.
Enligt GDPR får överföring av personuppgifter till ett tredjeland bara ske under förutsättning att det aktuella tredjelandet säkerställer en adekvat skyddsnivå för dessa uppgifter. Enligt förordningen kan kommissionen besluta om tredjelandet uppfyller kriteriet för en adekvat skyddsnivå.
När EU-kommissionen beslutar om adekvat skyddsnivå beaktas bland annat:
- Rättsstatsprincipen
- Respekten för de mänskliga rättigheterna och grundläggande friheterna
- Relevant lagstiftning samt lagstiftning om allmän säkerhet (t.ex. försvar, nationell säkerhet och straffrätt)
- Om det finns en effektiv rättslig prövning för de personer vars personuppgifter som berörs
Observera att personuppgiftsöverföringar till USA i och med Schrems II-målet inte längre kan göras lagligen med stöd av Privacy Shield-ramverket, se mer nedan.
En viktig sak att tänka på är att om ditt företag använder sig av verktyg från USA, såsom Google Analytics, så kan det innebära en överföring av personuppgifter till USA. Enligt en relativt ny dom från EU-domstolen (Schrems II) finns det en risk för att sådana överföringar strider mot reglerna i GDPR om tredjelandsöverföringar. Domen innebär att det inte längre är lagligt att överföra personuppgifter till USA med stöd av Privacy Shield. Om ditt företag använder sig av Privacy Shield för överföring av personuppgifter till USA riskerar företaget höga sanktioner enligt GDPR. Hur domen rent konkret påverkar företag med molntjänster från USA är dock idag oklart, här kan du läsa mer om Integritetsskyddsmyndighetens uttalande om domen.
11. Hur kan Enkla Juridik hjälpa mig?
Vår dedikerade IT-rättsjurist hjälper er med spörsmål rörande GDPR och dataskydd. Vi upprättar en personuppgiftspolicy till fast pris. Vid förfrågan hjälper vi också till att se över era system och rutiner. Kontakta oss för utsättningslöst!