Startsida » Juridik för dataskydd och GDPR » GDPR – tips och råd

8 tips för ditt företag rörande GDPR

Snabbguide om det viktigaste att känna till kring GDPR

Sedan GDPR infördes har många företagare blivit rädda för att hantera personuppgifter. Men egentligen är det inte så svårt att som små- eller medelstort företag efterleva GDPR på ett korrekt vis. Ofta gäller det att ha sunt förnuft och inta den registrerades (alltså personen den som lämnat uppgiften) perspektiv varje gång du ska använda personuppgifter (vid till exempel reklamutskick, cookies, etc.)

Innan vi går till själva tipsguiden är det ett par frågor du måste ha koll på.

Cristina - jurist inom IT-rätt och GDPR

Cristina – jurist inom IT-rätt, dataskydd och GDPR

Vi hjälper dig med:

Ta kontakt

Kostnadsfri utvärdering. Fortsatt hjälp alltid till fast pris efter överenskommelse.

Vad är en personuppgift?

Enligt Integritetsskyddsmyndigheten IMY (tidigare Datainspektionen) är en personuppgift ”all slags information som kan knytas till en levande person”. Det innebär att namn, mejladresser, hemadresser och personnummer är personuppgifter. Men definitionen är bredare än så. Även sådant som kanske vid första anblick inte är en personuppgift kan enligt GDPR ibland vara det – så länge det kan knytas till en identifierbar person.

Vi tar ett exempel. Om ditt företag gör en enkätundersökning där ni samlar in namn, mejladress, telefonnummer samt bostadskategori som personen bor i, så är även bostadskategorin en personuppgift. Trots att det bara finns tre väldigt generella alternativ (fastighet, hyresrätt eller bostadsrätt) för hur de kan bo. Men eftersom detta svar kan kopplas till ett namn, mejladress eller telefonnummer utgör även själva bostadskategorin en personuppgift.

Vad är GDPR?

GDPR är förkortningen på den europeiska dataskyddsförordningen som gäller i alla EU:s medlemsländer. Den reglerar hur företag och föreningar ska hantera personuppgifter. Om företag inte efterlever GDPR kan de drabbas av mycket höga sanktionsavgifter. I värsta fall i miljonklassen.

Tips 1 – se till att alltid få personens samtycke för det du ska använda personuppgiften till

En grundsten i GDPR är så kallat samtycke (”consent” på engelska). Det betyder att du för varje specifik personuppgiftsbehandling ska ha samtycke.

Det innebär att om du exempelvis har ett kontaktformulär på din hemsida för att samla in offertförfrågningar så måste du inhämta personens samtycke till att lagra personuppgifterna i syfte att kunna återkoppla till personen. Det ska då tydligt och explicit framgå på kontaktformuläret att du ber om tillåtelse för att lagra personuppgifterna. Det kan du göra genom att ha en ruta där personen måste bocka för en knapp/ruta för att överhuvudtaget kunna skicka in kontaktformuläret.

Det är viktigt att påpeka att ni för varje ändamål som ni samlar in samtycke ska ha ett separat, explicit och tydligt samtycke. Om du till exempel vill använda samma personuppgifter som du samlar in vid offertförfrågningarna till att skicka ut reklamutskick över mejl, så måste du samla in ett separat samtycke till detta från dessa personer.

Det gör du enklast genom att lägga till en ruta på ditt kontaktformulär där du ber om samtycke för det. Även här får inte rutan vara bockad för i förväg. Se exemplet nedan:

GDPR och personuppgiftshantering vid datainsamling
Be om explicit godkännande för ändamålet av datainsamlingen när du ber om personuppgifter.

På bilden syns det tydligt hur du ska göra. Notera att du inte ska bocka i rutan i förväg. Enligt GDPR ska personen själv aktivt bocka i rutan för att samtycke ska anses ha lämnats. Även länk till personuppgifts-/cookiepolicyn är något vi starkt rekommenderar.

Behöver du hjälp med att veta hur du ska be om samtycke på ett vis som är förenligt med GDPR och som samtidigt inte stöter bort potentiella kunder? Kontakta oss så hjälper vår GDPR-jurist er med en kostnadsfri inledande utvärdering.

Tips 2 – reflektera över om och hur länge det är skäligt att lagra personuppgifter

Det ligger sällan i den enskildas intresse att ditt företag eller förening ska lagra en personuppgift i oändligheten. Dessutom gäller lagringsminimeringsprincipen i GDPR, som innebär att en personuppgift inte får lagras under en längre tid än vad som är nödvändigt för syftet med lagringen. Däremot kan det vara i ert intresse att inte direkt redan efter några dagar eller veckor radera personuppgiften.

Ibland är det svårt att bedöma hur länge det är skäligt för er att lagra en viss personuppgift. Det kan helt bero på syftet med lagringen och vad er verksamhet sysslar med. Det finns ännu få vägledande domstolsavgöranden i frågan så det är svårt att hitta tydliga svar. Däremot finns viss vägledning genom annan författning och regelverk beroende på din verksamhet eller organisation. Vi kan hjälpa er navigera genom detta. Kontakta oss för en kostnadsfri juridisk utvärdering.

Tips 3 – se till att ha en integritets- och cookiepolicy på din hemsida

Ni har säkert en hemsida. Ni kanske till och med har Google Analytics eller Facebook-pixeln installerad på hemsidan? Ni kanske till och med har ett kundhanteringssystem som Hubspot, Pipedrive, Upsales eller annat för att följa era besökare?

Om ni tillämpar något av ovan bör ni definitivt skaffa er en integritets- och/eller cookiepolicy för att där stipulera hur er webbplats använder kakor (cookies). Utöver det måste ni inhämta användarnas explicita samtycke för att skicka kakor till deras webbläsare (vilket dessa verktyg gör för att kunna fungera).

Anledningen är att verktygen som nämns ovan (och många fler onlineverktyg därtill) använder kakor för att spåra webbanvändares beteende. Många gånger samlar dessa in personuppgifter såsom plats, enhet, kön, intressen och mycket mer. Trots att datauppgifterna oftast är anonymt aggregerade innebär det likväl en insamling av personuppgifter. Eftersom denna lagring och datainsamling dessutom görs med ett tredjeparts-verktyg (Google Analytics, Facebook etc.) måste ni skaffa er en policy som reglerar hur ni använder kakor. Därutöver måste ni erbjuda webbanvändarna ett sätt att kunna neka användningen av kakor.

Återigen är gränsen ibland hårfin för hur ni ska be om samtycke och vad ni får och inte får göra med personuppgifterna. Ta kontakt med oss för att komma i kontakt med en expert.

Tips 4 – se till att ha ett personuppgiftsbiträdesavtal med eventuella underleverantörer

När företaget växer behöver det ibland anlitas underleverantörer. Om dessa underleverantörer på något vis kommer i kontakt med personuppgifter eller ska hantera system som innehåller eller behandlar personuppgifter krävs det att du reglerar detta. Det gör ni med hjälp av ett personuppgiftsbiträdesavtal (även förkortat till PuB-avtal).

Exempel på när ni behöver ett personuppgiftsbiträdesavtal är när ni anlitar en 1) marknadsföringsbyrå som ska sköta era e-mejlkampanjer, 2) molntjänstleverantör, eller 3) underkonsult som utför arbete åt er för era kunder.

Avtalet ska beskriva parternas förpliktelser och skyldigheter gällande personuppgiftshanteringen, stipulera att båda parterna följer dataskyddsförordningen (GDPR), samt vilka system/tjänster som parterna använder.

I vissa fall kan ditt företag bli gemensamt personuppgiftsansvarig med annan part beroende på verksamheten. Vi på Enkla Juridik kan hjälpa dig med bedömningen och avtalsskrivningen. 

Tips 5 – lagra (helst) personuppgifterna inom EU

Den 16 juli 2020 kom det en dom i EU-domstolen (domen heter Schrems 2) som i praktiken gör det otillåtet att överföra personuppgifter till USA med stöd av Privacy Shield.

Rörande molntjänster såsom Google Cloud, Amazons AWS och Microsoft Azure ska det (enligt dem själva) vara möjligt att använda deras tjänster på ett sätt som inte bryter mot GDPR. Däremot bör du vara försiktig med att välja amerikanska (eller andra utomeuropeiska) leverantörer av molntjänster, onlineverktyg och IT-system eftersom EU-domstolen just underkänt Privacy Shield. Vi rekommenderar starkt att rådfråga en jurist för att säkerställa att ni använder tjänsterna på rätt vis.

För att vara på den säkra sidan är det därmed generellt att föredra att ha IT- och montjänstleverantörer som enbart lagrar data på servrar inom EU. Givet att de amerikanska molntjänst- och dataleverantörerna Google, Microsoft och Amazon erbjuder produkter i toppklass kan det i praktiken vara svårt att i alla lägen välja europeiska leverantörer. Om du väljer en amerikansk eller utomeuropeisk leverantör ska du således vara medveten om att det juridiska läget är något oklart och snabbt kan förändras.

Tips 6 – skaffa dataskyddsombud

Alla företag måste inte skaffa ett dataskyddsombud. Ett dataskyddsombud är ett krav på att skaffa om ”kärnverksamheten” på ett systematiskt och planerat vis löpande använder personuppgifter (se hela definitionen här). Eftersom definitionen är mycket svårtolkad är det inte alldeles självklart vilka branscher som omfattas. Rådfråga med jurist för att säkerställa om kravet på dataskyddsombud även gäller ditt företag.

Men vad är då syftet med ett dataskyddsombud? Syftet med ombudet är helt enkelt att ”övervaka att organisationen följer dataskyddsförordningen”. Det ska skyddsombudet göra genom att aktivt arbeta med dataskyddsfrågor, följa interna styrdokument, ge råd inom organisationen och vara kontaktperson för Integritetskyddsmyndigheten.

Tips 7 – gör en konsekvensbedömning varje gång du ska behandla en ”känslig” personuppgift

Det är inte alla företag som behandlar just ”känsliga” personuppgifter men om ditt företag gör eller ska börja samla in och behandla känsliga uppgifter så gäller det att göra en konsekvensbedömning.

Känsliga personuppgifter kan exempelvis vara:

  • Hälsouppgifter
  • Etnicitet
  • Politiska åsikter
  • Sexuell läggning
  • Medlemskap i fackförening
  • Genetisk information
  • Biometrisk data

Genom att göra en konsekvensbedömning innan ditt företag börjar behandla känsliga uppgifter kan ni säkerställa att ni inte bryter mot GDPR. Det förutsätter såklart att själva behandlingen tar hänsyn till eventuella risker och de registrerades integritet och rättigheter. Kontakta en jurist om ni funderar på att behandla (dvs. samla, lagra och använda) känsliga personuppgifter.

Tips 8 – gör en dataskyddsrevision

Om ni är ett medelstort företag eller driver en verksamhet som hanterar stora mängder data är det mycket bra att göra en dataskyddsrevision för att säkerställa regelefterlevnad. Brister i regelefterlevnaden av GDPR kan i värsta fall leda till böter i mångmiljonklassen. Det bästa är att göra en sådan revision på årlig basis.

Även om GDPR är svårtolkad och svårt att översätta till verkligheten är det viktigt att ni bedriver ett medvetet dataskyddsarbete. Detta gäller både för era klienter, anställda och ledningen, men även för att det är viktigt att kunna visa IMY hur era internprocesser ser ut om ni skulle bli föremål för en inspektion.

Kan Enkla Juridik hjälpa oss?

Behöver ni hjälp med ovanstående eller bara har några frågor? Ta kontakt med oss förutsättningslöst så utvärderar vi er situation kostnadsfritt.

Skicka in ditt ärende

Kostnadsfri juridisk utvärdering. Inga krav eller förbindelser. Vi återkommer inom en arbetsdag!