GDPR Kortfattat / GDPR guiden

Många företagare, studenter och även privatpersoner undrar vad de behöver göra när de nya EU-reglerna för dataskydd börjar gälla nu i maj 2018. För att underlätta för dig som har ett mindre företag har vi sammanställt denna guide då vi själva inte kunde hitta direkta svar på våra frågor.

Mycket av informationen och grunderna i texterna kommer från Verksamt.se som tillsammans med Datainspektionen tagit fram egna guider och texter som tar upp det viktigaste grunderna i dataskyddsförordningen. Generellt är GDPR en modernisering av vår tidigare PUL. (PersonUppgiftsLagen)

Vi vill även att du själv ska kunna ställa dina frågor via denna sida som sedan en av våra frivilliga juridik studenter kan svara på.

Studenterna kan du tacka genom att ge dem exempelvis en fika.

De vanligaste frågorna om GDPR

GDPR Information och vanliga frågor

Vi har tittat på många guider och vill göra det så enkelt för dig att förstå den nya lagen så att den kan följas på bästa sätt redan de den träder i kraft. 

Nyhetsbrev?

Se till att följa GDPR. Läs mer om detta längre ner på sidan.

Marknadsföring

Tänk på att följa reglerna kring GDPR vid hantering av känslig data.

Leverantörsregister

Viktigt att följa GDPR även kring leverantörerna.

Databaser

Hur är säkerheten och har ni policys hur ni hanterar datan? Finns det ansvarig person för GDPR-frågor?

Säkerhet

Se över er IT-säkerhet och få gärna ett intyg från behörig säkerhetsexpert.

Kundregister

Följ GDPR kring ditt kundregister.

Personuppgifter på webben

Har ni bilder eller namn måste man säkerhetställa användandet av dessa på hemsidan. Läs mer på vår sida

Säkra er DNS/ domän adress och hemsida

Rådfråga med en IT-säkerhetsexpert hur ni på bästa vis ska göra detta för att även kryptera trafiken.

Är du juridikstudent?

Genom att svara på frågor om GDPR som besökare ställer kan du ofta tjäna lite extrapengar om frågeställaren anser att svaret är bra. Det är om inte annat en bra referens för vidare studier och arbete.

Vad är en personuppgift?

Har du en förteckning över vilka typer av personuppgifter som finns i ditt företag och hur du använder dessa uppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress.

Även foton på personer räknas som personuppgifter. Registreringsskylten på en bil kan vara en personuppgift om det går att koppla bilen till en person.

Kundregister

Har du ett kundregister? 

Ett kundregister innehåller uppgifter om dina kunder. Uppgifterna kan lagras i ett program, en webbtjänst eller i exempelvis ett Excel-kalkylark. Det kan även vara exempelvis i ditt fakturaprogram.

Nyhetsbrev och marknadsföring

Skickar du ut nyhetsbrev eller annan marknadsföring till dina kunder?

Nyhetsbrev kan vara ett bra sätt att ha kontakt med sina kunder och driva mer affärer. Normalt är det okej att skicka nyhetsbrev och annan marknadsföring till sina kunder. Men i utskicken måste det i så fall finnas möjlighet för kunden att säga nej till fler utskick.

Bokningssystem?

Har du någon form av bokningssystem där kunder kan boka tid hos dig?

Ja! Ett system där kunderna kan boka tid för besök innehåller personuppgifter som exempelvis namn, telefonnummer och andra kontaktuppgifter till kunden som gjort bokningen. Därför måste du ta hänsyn till reglerna i dataskyddsförordningen.

Leverantörsregister

Har du ett register över dina leverantörer?

Ett leverantörsregister innehåller uppgifter om dina leverantörer. Uppgifterna kan exempelvis lagras i ett program, en webbtjänst eller i ett Excel-kalkylark.

Lönesystem?

Har du anställda och sparar uppgifter i ett lönesystem?

Ja! Har ditt företag anställda, så hanterar ni garanterat personuppgifter om dessa personer. Troligtvis i någon form av program eller webbtjänst för att exempelvis hålla ordning på frånvaro på grund av sjukdom, övertid, semester med mera och för att sköta löneutbetalningar till de anställda. Därför måste du ta hänsyn till reglerna i dataskyddsförordningen.

Kontaktuppgifter

Har du kontaktuppgifter och kanske även foto på några av dina anställda på er webb?

Ja! Dataskyddsförordningen gäller även för personuppgifter som publiceras på er webbplats. Tänk på att även bilder och alla andra uppgifter som kan knytas till en person är personuppgifter.

Lönesystem?

Har du bestämt hur länge uppgifter om dina kunder, leverantörer och anställda ska sparas?

En viktig regel i dataskyddsförordningen är att du inte får spara personuppgifter för länge. När uppgifterna inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort.

Kontaktuppgifter

Skyddar ni uppgifterna om bland annat kunder, leverantörer och anställda så att obehöriga personer inte kan komma åt dem?

De personuppgifter som du hanterar i företaget måste skyddas. Det skyddet kan bestå av tekniska åtgärder som antivirusprogram, brandvägg, trådlöst nätverk med kryptering och datorer med uppdaterade program. Lika viktigt är organisatoriska åtgärder som att du exempelvis begränsar vilka anställda som får ta del av olika typer av personuppgifter.


Ny lagstiftning om GDPR som berör alla företag från maj 2018

I maj 2018 kommer en ny lagstiftning kallad dataskyddsförordningen. På engelska förkortas den GDPR.

GDPR ska stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter.

GDPR innebär att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta för att främja den fria konkurrensen och göra det enklare för företag att expandera och verka i flera EU-länder.

Dataskyddsförordningen ställer strängare krav på hur företag får samla in och använda personuppgifter. Om du som företagare bryter mot reglerna i förordningen så riskerar du kännbara böter. Därför är det viktigt att känna till vilka regler som gäller när du använder personuppgifter i företaget.

Dataskyddsförordningen ersätter personuppgiftslagen, som idag reglerar hur företag får samla in och använda personuppgifter.

Checklisa GDPR – Att göra

Här hjälper vi dig skapa eller pricka för en checklista

På detta vis kan du se hur långt ni kommit i processen och om ni måste göra något mer för att följa GDPR.

V

Gör en förteckning

Ett första och viktigt steg i att uppfylla kraven i dataskyddsförordningen är att ha koll på vilka personuppgifter som hanteras i ditt företag.

I princip alla företag är enligt förordningen skyldiga att ha en förteckning som beskriver de olika sätt som man hanterar personuppgifter på.

Förteckningen ska innehålla:

  • kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna (vanligtvis ditt företag)
  • vad uppgifterna används till (till exempel kundregister, kontaktuppgifter på webbplats)
  • vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller kunder)
  • tidsgräns för borttagning av uppgifter, om möjligt
  • om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det
  • beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt.
Förteckningen kan du till exempel ha i ett Excel-kalkylark. I takt med att ditt företag växer kommer du säkert att samla in fler personuppgifter och använda dessa för nya ändamål. Tänk på att du då behöver uppdatera förteckningen.
V

Kundregister

Det är bra att du har ordning på dina kundrelationer! Men har du också koll på om kundregistret uppfyller reglerna i dataskyddsförordningen?

Vissa uppgifter om kunden får du registrera utan att först få kundens medgivande. Det gäller uppgifter som behövs för att du ska kunna uppfylla avtalet med kunden, som exempelvis kontaktuppgifter och leveransadress. En del andra uppgifter kräver kundens samtycke.

Ibland behöver kunderna ge sitt samtycke
Vill du registrera fler uppgifter om kunden än vad som behövs för att uppfylla avtalet? Då behöver du fråga kunden om lov först.

Sportaffären kanske vill registrera vilka sporter som kunden är intresserad av, och mataffären vilken mat som kunden föredrar.

För att få registrera den typen av uppgifter krävs att kunden ger sitt samtycke, det vill säga att kunden först får information om att du kommer att spara den typen av uppgifter och varför, och sedan godkänner att du gör det. Registrera inte uppgifter som du inte behöver.

Informera kunderna
Du ska också informera kunden om vilken typ av uppgifter du sparar och hur du använder uppgifterna. Det kan du till exempel göra i en kortfattad text i kundinformationen eller avtalet och där hänvisa till mer utförlig information på er webbplats.

Läs mer om att informera kunderna (verksamt.se)

Var försiktig med omdömen om kunderna
Genom att anteckna kundens intressen kan du skapa ett personligt förhållande till varje kund som på så sätt känner sig välkommen och kommer tillbaka. Säg till exempel att du har en frisörsalong. Att hålla ordning på vad kunden köpte vid det senaste besöket gör att du kan föreslå dessa produkter vid senare besök och på så sätt göra mer affärer. Sådana uppgifter kan få sparas om kunden har samtyckt till det.

Känsliga uppgifter
Det gäller dock att vara försiktig med vilken typ av uppgifter du antecknar om kunden. Du bör till exempel aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter.

Läs mer om känsliga uppgifter (Datainspektionen)

V

Nyhetsbrev och marknadsföring

Normalt är det okej att skicka nyhetsbrev och annan marknadsföring till sina kunder. Men i utskicken måste det finnas möjlighet för kunden att säga nej till fler utskick. Säger en kund nej till mer marknadsföring från dig så måste du respektera kundens önskan.

Vill du skicka e-post till personer som inte är kunder? Enligt marknadsföringslagen gäller då som huvudregel att en e-postadress enbart får användas i marknadsföringssyfte om personen samtyckt till det på förhand.

V

Tänk på det här när du skickar e-post

Dataskyddsförordningen gäller även personuppgifter som förekommer i mejl, vilket kan vara lätt att missa.

  • Skicka aldrig känsliga personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.
  • Undvik även att skicka andra integritetskänsliga uppgifter som exempelvis lönebesked via e-post.
  • För över personuppgifter till andra system och radera mejlet. Mejlar en anställd in och sjukanmäler sig, registrera det i lönesystemet och radera mejlet.
  • Om ni har kontaktformulär på er webb som genererar ett mejl till er, så försök att undvika fritextfält. Har ni sådana fält så uppmana den som fyller i formuläret att inte skriva in några personuppgifter i fältet.
  • Bestäm hur länge ni behöver spara e-post och radera mejlen efter den tiden. Spara aldrig mejl med personuppgifter ”för att det kan vara bra att ha”.
  • Informera era anställda om ovanstående punkter.
V

Bokningssystem

Samma regler gäller för ett bokningssystem som för ett kundregister. Alltså: uppgifter som kunden kan förväntas förstå att du behöver för en bokning går bra att registrera.

Skulle du vilja föra några andra anteckningar, som exempelvis vad kunden föredrog vid förra besöket, så krävs normalt att du först fått kundens medgivande att spara den typen av uppgifter.

Skulle du få ett sådant medgivande är det viktigt att aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter.

V

Leverantörsuppgifter

Ett leverantörsregister innehåller normalt endast uppgifter om juridiska personer. Sådana uppgifter är inte personuppgifter och omfattas inte av reglerna i dataskyddsförordningen.

Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner på företagen är dock personuppgifter, och sådana personuppgifter är tillåtna att hantera för att hantera avtalet med leverantörerna.

V

Löner och andra uppgifter om era anställda

Som arbetsgivare måste du hantera personuppgifter om dina anställda.

Vissa uppgifter behöver du registrera för att kunna uppfylla avtalet mellan dig som arbetsgivare och din anställda. Det kan vara uppgifter som behövs för att beräkna den anställdas lön men även uppgifter för in- och utpasseringssystem, telefonväxel och för andra it-system.

Företaget behöver även hantera personuppgifter om de anställda för att leva upp till lagkrav som exempelvis rapportering av skatter och sociala avgifter.

Om du vill spara kontaktuppgifter till anhöriga för att kunna kontakta dessa vid olycksfall eller sjukdom så bör du ge skriftlig information om detta som din anställda kan ta med till sina anhöriga.

V

Personuppgifter på webben – fråga först!

Kontaktuppgifter och även foto på anställda är personuppgifter.

För att publicera sådana uppgifter på företagets webb så behöver du ha en rättslig grund, du måste alltså kunna visa att du har stöd för det i dataskyddsförordningen.

Det gör du lättast genom att fråga din anställda om det är okej att publicera kontaktuppgifter och foton på webben. Tänk på att du då måste respektera de anställdas vilja.

Om företaget kan motivera att det är viktigt för företaget att publicera uppgifterna, till exempel för att den anställda är en chef eller har kundorienterade arbetsuppgifter, så kan det ändå vara okej att publicera uppgifterna utan den anställdas medgivande.

Du måste alltid informera dina anställda om att deras bilder och andra personuppgifter kommer att publiceras på er webbplats.

Läs mer om olika rättsliga grunder för att få samla in personuppgifter (verksamt.se)

V

Spara inte personuppgifter längre än nödvändigt

Det är bra att ditt företag har bestämt hur länge personuppgifter ska sparas. En viktig regel i dataskyddsförordningen är att du inte får spara personuppgifter för länge.

När uppgifterna inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder ska tas bort från it-systemen.

Kunduppgifter får sparas ett år efter avslutad kundrelation
En tumregel enligt Datainspektionen är att personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört.

Om du som säljare behöver kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter sparas tills garantin har gått ut.

Skapa rutiner för att ta bort uppgifter
Ett tips är att i din förteckning över vilka personuppgifter som hanteras i företaget även ange hur länge olika typer av uppgifter behöver sparas. Sedan gäller det även att ha rutiner på plats som säkerställer att uppgifterna verkligen tas bort efter utsatt tid.

r

OBS!

Viktigt om den här guiden!

I den här guiden tas några av de viktigaste grunderna i dataskyddskyddsförordningen upp. Men guiden tar inte upp alla krav och bedömningar som kan bli aktuella då personuppgifter samlas in och hanteras.

Mer information om dataskyddsförordningen finns på Datainspektionens webbplats.

Ställ din fråga

Juridikstudenter besvarar denna och som tack kan du bjuda dem på en lite fikapeng.

Professionell IT-säkerhet

IT-säkerhetsföretaget Secuureit som står bakom en av Sveriges modernaste webbyråer har skapat denna tjänst/ guide med hjälp av innehåll från verksamt.se och datainspektionen.
Guiden är skapad av secuureit.com som arbetar med IT-säkerhet mot företagskunder.

Tack till verksamt.se och Datainspektionen.