Gå till huvudinnehåll
Verksamt logotyp

Skicka ett meddelande

Skicka ett meddelande

Har du ett pågående ärende, skriv ärendenummer eller kvittensnummer för snabbare hantering.

Hantera personuppgifter

Dataskyddsförordningen, som även kallas GDPR, gäller alla företag som är verksamma inom EU och finns till för att säkerställa en trygg hantering av personuppgifter. Som företagare ansvarar du för kunders, anställdas och leverantörers personuppgifter och för att lagen följs.

Dataskyddsförordningen innehåller en lång rad regler och krav för hur personuppgifter får hanteras i en organisation. Alla dessa regler, skäl och annan juridisk text i förordningen bottnar i några grundläggande principer och du kommer rätt långt genom att bara följa de här tre punkterna:

  • Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål.
  • Informera om vilka uppgifter du sparar och spara dem inte längre än nödvändigt.
  • Skydda de personuppgifter du hanterar i företaget.

Läs mer om grundläggande principer hos Integritetsmyndigheten (IMY)

Se IMY:s filmer om GDPR

Personuppgifter är all information som direkt eller indirekt kan knytas till en person. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.

I vissa fall räknas även olika slags elektroniska identiteter, som exempelvis ip-adress, som personuppgifter om de kan kopplas till en viss person.

Läs mer om personuppgifter hos IMY

Man måste ha stöd i dataskyddsförordningen för att få hantera personuppgifter. Det kallas för att ha en rättslig grund. Det finns olika rättsliga grunder som företag kan använda. De fyra viktigaste är:

1. Rättslig förpliktelse

I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.

2. Avtal

Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet.

3. Samtycke

En annan rättslig grund är samtycke, som innebär att du ber att få registrera uppgifter om personen. Ska ditt företag samla in uppgifter så måste personen först få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att sedan kunna ge sitt godkännande.

4. Intresseavvägning

Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om ditt företaget kan visa att ni har ett berättigat behov av att hantera uppgifterna och att detta behov väger tyngre än den enskildas rätt till skydd för uppgifterna.

Läs mer om rättslig grund hos IMY

Det är viktigt att veta att personuppgifter bara får samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften.

Ett företag kan till exempel utrusta sina bilar med speciell gps-utrustning som används för elektroniska körjournaler för att förenkla redovisningen till Skatteverket. Men arbetsgivaren får inte använda uppgifterna som gps:en samlar in för att kontrollera hur långa raster de anställda tar.

När du samlar in uppgifter om en person så måste du informera personen i fråga. I dataskyddsförordningen finns en lång lista över vilken information som ska ges, men kort sagt ska du tala om att du samlar in personuppgifter, vilka uppgifter det handlar om och varför du gör det.

Kommer du att lämna uppgifterna vidare till andra, måste du tala om det. Tänk på att informationen måste vara tydlig, begriplig och helst skriftlig.

De registrerades rättigheter hos IMY

En viktig princip i förordningen är att de personuppgifter som du har i företaget ska skyddas så att de inte stjäls, oavsiktligt raderas eller att någon obehörig kommer åt dem. Det har förekommit att hackare kommit över mängder av personuppgifter och då ofta kreditkortsuppgifter.

Oavsett storlek kan företag som tappar kontroll över uppgifter om exempelvis sina kunder räkna med kostnader i badwill, inte minst från de personer som lämnat sina uppgifter till företaget i tro om att de ska hanteras på ett ansvarsfullt och lagligt sätt.

Läs mer om informationssäkerhet hos IMY

IMY kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift, vilket är en form av böter. Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig.

För mer information om vad tillsynen kan leda till hos IMY

I flera branscher finns uppförandekoder och certifieringar för företag som vill kunna visa att de bedriver sin verksamhet på ett etiskt, socialt eller miljömässigt sätt. Du kan även ansluta ditt företag till en uppförandekod som rör personuppgiftshantering. Då kan kunder och leverantörer känna sig trygga med hur du hanterar deras uppgifter, något som kan bli en konkurrensfördel.

På samma sätt som dåligt skyddade personuppgifter kan ge ditt företag kostnader i badwill, kan du räkna med goodwill om du på ett bra och tydligt sätt kan visa att du följer reglerna i dataskyddsförordningen.

Uppförandekoder och certifieringar enligt GDPR hos IMY

En av tankarna med dataskyddsförordningen är att se till att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta gör det enklare för företag att expandera och verka i flera EU-länder.

Ett svenskt företag som följer dataskyddsförordningen behöver alltså inte bekymra sig för att reglerna för hur uppgifter om exempelvis kunder får hanteras är annorlunda i något annat EU-land. Därför är företaget förberett för en framtida expansion.