När dataskyddsförordningen GDPR som står för General Data Protection Regulation, trädde i kraft i maj 2018 så skärptes reglerna kring hantering av datauppgifter ordentligt och vårdslöshet vid hantering av personuppgifter kan bli kostsamt. Innan GDPR verkställdes inom EU, fanns det egentligen inte någon form av säkerhet för människors personuppgifter och deras integritet på internet.
En vanlig fråga som folk ställer sig är “vilka företag omfattas av GDPR?”
Svaret på den frågan är att alla företag som är verksamma inom EU, oavsett storlek, omfattas av GDPR. Det innebär att lagen om GDPR är lika viktig att följa oavsett om du har ett nystartat företag eller driver en större verksamhet. I detta inlägg kommer vi att vägleda dig om hur företag, stora som små, bör förhålla sig till GDPR för att värna om sina kunders integritet.
Kort om GDPR
Vi börjar med att kort gå igenom vad GDPR är. Några av nyckelpunkterna i den nya förordningen är att du som enskild privatperson har rätt till insyn, att ändra och även radera personuppgifter om dig själv som företag eller organisationer samlat in om dig. Lagen om GDPR anser att du som företag inte ska samla in mer personuppgifter än vad som är nödvändigt. Personuppgifterna bör även vara avsedda för specifika ändamål och datan bör inte lagras längre än nödvändigt.
Personer som exempelvis registrerar sig på din hemsida har rätt att få veta hur ni som företag hanterar deras personuppgifter. Det ska tydligt framgå varför ni samlar in dessa uppgifter och även hur ni kommer att använda dom. De som signar upp sig måste också veta vilka rättigheter de har, till exempel hur de kan korrigera felaktig information samt hur man får personuppgifter om en själv raderat. Detta gäller inte bara B2C utan även B2B, inom sin egen organisation samt övriga typer av avtal.
Vad innebär GDPR för företag?
GDPR gäller som ovan nämnt för alla företag som verkar inom EU, oavsett storlek och finns till för att skydda privatpersoners integritet genom att säkerställa korrekt hantering av personuppgifter. När en person ger sitt samtycke till dig som företag att hantera dess personuppgifter via exempelvis ett formulär eller en nyhetsbrev signup, då har du som företag skyldighet att uttryckligen se till att personen kan välja att ge sitt samtycke och vet hur dennes personuppgifter kommer att användas.
De avtal som GDPR som företag måste ha enligt regler är:
- Dataskyddspolicy
- Personuppgiftsbiträdesavtal
Lagen kräver även följande interna rutiner:
- Kontinuerlig bortplockning av icke nödvändiga personuppgifter
- Ta hänsyn till de registrerades rättigheter
- Åtagande vid personuppgiftsincidenter
- Skriftligt dokument för personuppgiftsbehandling
GDPR regler i Sverige
Även om GDPR och de regler som tillkommit kan uppfattas som komplext och mycket att hålla reda på, är det i själva verket till din fördel om du som företag har visionen att expandera och nå marknader utanför Sveriges gränser. Innan 2018 så hade varje land inom EU egna dataskyddslagar, vilket kunde resultera i att även om man följde sitt lands lagar, riskerade man att bryta lagarna i det andra landet som man är verksam i.
Syftet med dataskyddsförordningen är att det ska vara samma regler vid hantering av personuppgifter i hela Europeiska Unionen. Det gör det enklare för företag att etablera sig och verka inom flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen har ingen anledning att oroa sig för att reglerna vid hantering av information om exempelvis sina kunder sker på ett annorlunda sätt i ett annat EU-land.
Det är inte ovanligt att svenska företag använder sig av digitala tjänster som hanterar data utanför EU, exempelvis amerikanska. Det kan vara alltifrån analysverktyg, kommunikationsplattformar eller logistikverktyg. GDPR säger att överföringar av personuppgifter till ett land utanför Europa endast får ske om landet i fråga kan garantera en hög skyddsnivå för personuppgifterna. Alla amerikanska leverantörer kan inte längre hantera personuppgifter enligt GDPR vilket innebär att företag som skickar nyhetsbrev via en amerikansk leverantör riskerar att bryta mot GDPR.
Vad händer om ett företag bryter mot GDPR?
Vad blir konsekvenserna om man bryter mot GDPR? Det som händer om du bryter mot lagen om GDPR, oavsett om det handlar om GDPR avtal mellan företag till företag, kunder eller organisationer, är att integritetsskyddsmyndigheten beslutar om företaget får en böter och isåfall behöver betala en sanktionsavgift. Avgiften varierar beroende på hur stor överträdelsen är samt hur stor skada som orsakats. Man tar även i beaktning hur känslig informationen är i det fallet.
Maxbeloppet på sanktionsavgiften som ett företag kan komma att behöva betala sträcker sig upp till 20 miljoner euro eller 4% av bolagets globala årliga omsättning. Dessa avgifter sker dock oftare vid större överträdelser. Vid mindre överträdelser kan man få betala upp mot 10 miljoner euro eller 2% av bolagets globala årliga omsättning.
Hur företag bör hantera personuppgifter
Vad går egentligen under termen “personuppgifter”? Det finns en del grundläggande och självklara personuppgifter, exempelvis för och efternamn samt personnummer. Men det finns betydligt fler sätt att identifiera en person på, speciellt på internet.
Exempel på andra personuppgifter är:
- Platsinformation
- En bild
- Bankuppgifter
- Uppdateringar på sociala medier
- Vart man bor
- Relationer och antalet barn
- Telefonnummer
Vill du dyka ner ännu lite djupare i GDPR regler och hur företag bör hantera personuppgifter, kan du läsa mer om GDPR här!
Hur länge får företag spara personuppgifter?
Enligt GDPR (General Data Protection Regulation) finns det ingen specifik tidsgräns för hur länge företag får spara personuppgifter. Istället säger reglerna att personuppgifter får sparas så länge som de är nödvändiga för att uppfylla de syften för vilka de samlades in.
Här är några viktiga punkter att beakta:
1. Ändamålsbegränsning: Personuppgifter får bara samlas in för specifika, uttryckligt angivna och berättigade ändamål och får inte behandlas på ett sätt som är oförenligt med dessa ändamål.
2. Lagringsminimering: Personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
3. Dataminimering: Företag ska inte behålla personuppgifter längre än nödvändigt. När uppgifterna inte längre behövs för det ursprungliga syftet ska de raderas eller anonymiseras.
4. Rätt till radering: Enligt GDPR har individer rätt att få sina personuppgifter raderade (”rätten att bli glömd”) under vissa omständigheter, till exempel om uppgifterna inte längre är nödvändiga för de ändamål de samlades in för.
För att uppfylla dessa krav måste företag utveckla och implementera policyer för datalagring och dataradering som säkerställer att personuppgifter inte lagras längre än nödvändigt och att de raderas på ett säkert sätt när de inte längre behövs.
GDPR mall för småföretag
För att säkerställa att ni som företag följer GDPR kan det vara bra att börja med att kontrollera att ni:
- Följer alla de grundläggande principerna i dataskyddsförordningen?
- Har en korrekt rättslig grund för era personuppgiftsbehandlingar?
- Dokumenterar hur ni tänker och hur ni gör?
Kan man anmäla företag som inte följer gdpr?
Ja, man kan anmäla företag som inte följer GDPR. Om du misstänker att ett företag behandlar dina personuppgifter på ett sätt som strider mot GDPR, kan du vidta följande steg:
Kontakta företaget: Försök först att lösa problemet direkt med företaget genom att kontakta dem och förklara din oro. Företaget är skyldigt att svara på dina förfrågningar om personuppgifter och hantering av dem.
Kontakta dataskyddsombudet: Om företaget har ett dataskyddsombud (DPO), kan du kontakta denne direkt för att framföra dina klagomål.
Anmäl till Datainspektionen: Om du inte får tillfredsställande svar från företaget eller om du vill gå direkt till en tillsynsmyndighet, kan du göra en anmälan till Datainspektionen (numera Integritetsskyddsmyndigheten, IMY) i Sverige. IMY övervakar och säkerställer att GDPR efterlevs. Du kan göra en anmälan via deras webbplats.
Juridisk rådgivning: Om ditt problem kvarstår kan du överväga att söka juridisk rådgivning för att få hjälp med att förstå dina rättigheter och eventuellt vidta ytterligare rättsliga åtgärder.
För att göra en anmälan till Integritetsskyddsmyndigheten behöver du vanligtvis tillhandahålla följande information:
Dina kontaktuppgifter.
En beskrivning av problemet och hur företaget har brutit mot GDPR.
Kopior av eventuell kommunikation med företaget rörande ditt klagomål.
Integritetsskyddsmyndigheten kan sedan utreda ditt klagomål och vidta åtgärder mot företaget om de finner att GDPR har överträtts.
GDPR i text och avtal för små företag
Att börja sätta sig in i regelverket och förstå hur man aktivt behöver arbeta med GDPR och ta hänsyn till människors integritet kan uppfattas som komplicerat om du är ett nystartat företag. Vi vill självklart hjälpa er på traven. Därför har vi brutit ner det till fyra viktiga punkter som du kan utgå ifrån och använda som en GDPR mall för små företag. Detta kommer att hjälpa er att få en tydligare bild av vilka GDPR regler som gäller, hur ni kan bygga en bra struktur och sätta bra rutiner för att minska risken att missa viktiga punkter som kan leda till kostsamma påföljder.
- Granska och få en överblick. Vilka personuppgifter hanteras i er verksamhet? Kartlägg dessa och ha i åtanke att det inte bara gäller ert kundregister utan även uppgifter om era anställda och data som finns lagrat i olika typer av program som ni använder.
- Dela in i datan kategorier. Vilka typer av olika personuppgifter är det som ni hanterar? Kategorisera upp dessa så att ni får en helhetsbild och kan sätta en tydlig struktur.
- Dokumentation. Efter att du som företagare har kategoriserat upp vad för uppgifter som ni hanterar, är det enkelt att sedan börja dokumentera dessa. Det bör finnas dokumentation på varför ni har personuppgifterna, hur de behandlas och i vilka syften. Därefter bör en dataskyddspolicy samt ett personuppgiftbiträdesavtal skrivas.
- Våga fråga om hjälp. Det är mycket att hålla koll på när det kommer till GDPR regler för företag. Om du har möjlighet, be om hjälp. Det är bättre att säkerställa att det blir rätt redan från början. Det finns även mycket bra GDPR text online att ta del av för att se till att du följer GDPR regler som gäller för företag och organisationer.
Har du frågor som rör GDPR för företag eller vill du ha hjälp att komma igång med digital kommunikation i Rule? Kontakta oss så hjälper vi dig.
