Så här fungerar lagen om GDPR – uppfyller ni alla krav?

Så här fungerar lagen om GDPR – uppfyller ni alla krav?

Karolina Östervald

Publicerades: 29 juli, 2022
Foto av: Adobe Stock

Dataskyddsförordningen, mest känd som GDPR, är en förordning inom EU som reglerar behandlingen av personuppgifter. Vi förklarar hur lagen fungerar – och lyfter alla krav som ditt företag måste uppfylla.

Dataskyddsförordningen började gälla 2018 och berör alla företag. Lagen ska se över hur företag, organisationer och myndigheter får använda och samla in personuppgifter – för att stärka enskilda personers rättigheter. Samma regler för GDPR gäller i hela Europa. Anledningen är för att bidra till den fria konkurrensen och göra det enklare för företag att expandera inom flera EU-länder.

Uppfyller ditt företag alla krav?

GDPR ställer höga krav på hur du som företagare får samla in och använda personuppgifter. Företaget riskerar böter om ni bryter mot reglerna i förordningen. Därför är det viktigt att du känner till vilka krav som ställs och vilka regler som gäller vid användandet av personuppgifter inom företaget. Vi vill såklart hjälpa dig med det – och listar därför alla krav som du behöver ha koll på.

Personuppgifter

Du behöver ha en samlad förteckning över vilka typer av personuppgifter som finns i ditt företag – och hur dessa uppgifter används. Du kan ha förteckningen i exempelvis ett Excel-kalkylark eller annat program. Tänk på att du måste uppdatera förteckningen om du samlar in fler eller använder personuppgifterna för andra ändamål. Det här bör din förteckning innehålla:

  • kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna (vanligtvis ditt företag)
  • vad uppgifterna används till (till exempel kundregister, kontaktuppgifter på webbplats)
  • vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller kunder)
  • tidsgräns för borttagning av uppgifter, om möjligt 
  • om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det
  • beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt.

Källa: Verksamt

Vad är en personuppgift? Det är information som direkt eller indirekt kan knytas till en person som lever. Detta kan vara personnummer, namn och adress. Foton räknas också som personuppgift.

Kundregister

Ett kundregister innehåller uppgifter om just dina kunder. Hur du lagrar uppgifterna är upp till dig – det kan exempelvis var i ett Excel-kalkylark, en webbtjänst eller i ett program. Om du behöver registrera fler uppgifter om din kund än vad som behövs för avtalet så måste du be kunden om lov först. Kunden behöver få information och godkänna att du kommer spara uppgifterna som du frågar efter samt hur de kommer användas. Du kan exempelvis sammanfatta en text i avtalet eller kundinformationen – och sedan hänvisa till en utförligare text på er hemsida.

Leverantörsregister

Detta register innehåller uppgifter om dina leverantörer – och innehåller normalt sätt endast uppgifter om juridiska personer. Dessa uppgifter är inte personuppgifter och omfattas inte av lagen. Däremot uppgifter om enskilda affärsmän eller kontaktuppgifter till personer omfattas av GDPR.

Lönesystem

GDPR gäller även för uppgifter som finns i ditt lönesystem. Den här informationen finns säkert i en webbtjänst eller ett program. Du behöver också hantera personuppgifter om dina anställda för att uppfylla lagkrav som exempelvis rapportering av sociala avgifter och skatter.

Vill du spara kontaktuppgifter till anhöriga för att kontakta dem vid exempelvis sjukdom eller olycksfall? Då behöver du ge din personal skriftlig information som de i sin tur kan ge till sina anhöriga.

Personaluppgifter

Om din hemsida innehåller kontaktuppgifter eller foton av din personal – så omfattas även dessa av GDPR. För att publicera den här informationen så behöver du kunna visa att du har stöd för det i dataskyddsförordningen. Därför behöver du först fråga din personal om det är okej att den här informationen läggs ut.

Sparning av uppgifter

En viktig regel inom GDPR är att du inte får spara personuppgifter för länge. Har du uppgifter som inte längre behövs för det syftet som de samlades in för? Då ska dessa raderas. Detta gäller också om en person har slutat att vara kund hos dig. Du får normalt spara personuppgifterna om en tidigare kund i ett år. När det kommer till garantier så får nödvändiga personuppgifter sparas tills garantitiden har gått ut.

Tips! Se till att ni på ert företag skapar rutiner för hur länge information ska lagras – och att den sedan raderas. Den informationen kan exempelvis finnas i er förteckning.

Skydda personuppgifterna

De personuppgifter som du har i ditt företag måste skyddas från obehöriga. Detta kan vara tekniska åtgärder som brandvägg, antivirusprogram och trådlöst nätverk med kryptering. Det är också viktigt att du begränsar vilka medarbetare som har tillgång till olika personuppgifter.

Bokningssystem

Har du ett bokningssystem där dina kunder kan boka tid för besök? Då innehåller det systemet flertalet personuppgifter som kundens namn, telefonnummer och andra kontaktuppgifter. Här gäller samma regler som för ett kundregister.

Möjligheten att avprenumerera

Skickar du nyhetsbrev? Då måste det var möjligt för din kund att avprenumerera eller tacka nej till fler utskick. Om en kund tackar nej till fler utskick så måste du respektera det.

E-post

GDPR gäller även de personuppgifter som finns i mejl. Nedan listar vi viktiga punkter för dig att ha koll på – se till att alla dina medarbetare är informerade:

  • Du får aldrig skicka känsliga personuppgifter via e-post. Detta kan vara uppgifter om hälsa, politisk åsikt eller religiös åskådning.
  • Undvik att skicka integritetskänsliga uppgifter via e-post. Detta kan exempelvis vara lönebesked.
  • Om du får personuppgifter via e-post så för över dem till andra system – och radera sedan mejlet.
  • Har ni ett kontaktformulär på er hemsida som generar mejl till er? Undvik då fritextfält.
  • Kom överens om hur länge ni behöver spara mejl och radera dem sedan efter angiven tid.

Läs också: Nya lagändringar i LAS – här är allt du behöver veta
Läs också: Nya lagar och regler för sommaren 2022 – allt du behöver veta