GDPR – vad behöver du göra?

Kvinna som sitter vid sitt skrivbord.

Vad behövs för att leva upp till lagens krav? I den här artikeln tar vi upp några av de grundläggande sakerna. Vår förhoppning är att du med hjälp av den kan avgöra vad du behöver fördjupa dig i och om du ska söka juridisk hjälp.

Lagar & regler > Vad behöver du göra inför GDPR?

Den här texten innehåller inte juridiska råd. Den är en översiktlig presentation av några enstaka delar av lagen. Texten har som mål att ge en enkel introduktion eftersom många företag påverkas och behöver ta ställning till om man behöver söka juridisk rådgivning.

Innan vi börjar
För att inte dribbla bort våra läsare, behöver vi definiera några återkommande begrepp som man stöter på i denna och andra texter om GDPR.

Behandling
Avser all hantering av personuppgifter, alltså även lagring, radering och sortering.

Den registrerade
Syftar på personen vars uppgifter du behandlar

Personuppgiftsansvarig (PA)
Syftar på den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde (PB)
Är den som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Behandling förbjuden – utom i undantagsfall
Man kan säga att utgångspunkten är att det är förbjudet att behandla personuppgifter, utom i de fall som nämns i lagen. Förutom att följa grundprinciperna vi tog upp i första delen, så är följande punkter grundläggande krav:

  • Man måste ha lagstöd – en rättslig grund.
  • Man måste ge omfattande information innan man samlar in personuppgifter.

Låt oss kika närmare på detta.

Rättslig grund – vad är det?
Bestämmer man sig för att samla in och behandla personuppgifter, så tar man rollen som Personuppgiftsansvarig (PA).

Följande punkter är de undantag där lagen tillåter dig att behandla personuppgifter:

Samtycke
Personen vars uppgifter du vill samla in har sagt ett klart och tydligt JA. Detta samtycke, eller consent på engelska, är den vanligaste grunden för marknadsföring.

Avtal
Detta kan exempelvis vara köpeavtal eller anställningsavtal. Därför utgör kundregister och personalregister inte något stort problem.

Rättslig förpliktelse
När du är skyldig enligt lag att behandla personuppgifter. Ett vanligt exempel är att man måste betala in skatt och sociala avgifter om man betalar ut lön.

Skydd av vitala intressen
Här räcker det inte att skälet är viktigt, det ska vara livsavgörande. Exempel kan vara dokumentation av en anställds allergi.

Allmänt intresse
Gäller myndigheter m fl.

Intresseavvägning
Om den personuppgiftsansvariga (din verksamhet) anser att nyttan/fördelen av att behandla uppgifterna är mycket stor, samtidigt som en riskanalys visar att risken för den registrerade (personen vars uppgifter du behandlar) är liten, så kan man stödja sig på intresseavvägning. Man kan behöva rådgivning innan man väljer detta skäl för att behandla personuppgifter.

Kan man inte ange något av dessa skäl, så får man inte behandla personuppgifter.

Har du giltiga skäl för att behandla personuppgifter?
Ta nu fram listan du gjorde i tidigare artikel och koppla en rättslig grund till varje syfte. Du bör troligen hålla dig till samtycke, avtal och/eller rättslig förpliktelse. Du kan även hävda intresseavvägning, men du kan behöva ta hjälp med att avgöra om intresseavvägning är tillämpbart – och detta i varje enskilt fall.


Information är A och O
Med insamlande av personuppgifter kommer informationsskyldighet. Dock behöver du inte informera om sådant som den som lämnar uppgifterna kan antas känna till, som exempelvis någon beställer en vara och lämnar sin adress. Då kan man anta att personen som beställt varorna vet vad du ska använda adressuppgifterna till. Däremot så vet de inte hur länge du tänker behålla dem eller om du kommer att använda dem i marknadsföringssyfte.
Listan över informationskrav i lagen är lång, och vi ger bara en sammanfattning här. Vill du gräva djupare, kan du kika på lagtexten i Artikel 13.

Du är skyldig att bland annat informera om:

  • Vem du är
  • Syfte, det vill säga vad du ska ha uppgifterna till
  • Vilken rättslig grund du stödjer dig på
  • När du kommer att ta bort uppgifterna
  • Om du tänker dela med någon och om du delar med någon utanför EU/EES. (T ex Google, Microsoft)
  • Vilka rättigheter den registrerade har
  • Och lite annat smått och gott. Du hittar den kompletta listan över informationskrav i artikel 13.


Se över hur du informerar
När du ser på din lista över behandlingar, tänk igenom om du har informerat ordentligt när du samlade in uppgifterna. Med största sannolikhet har du inte gjort det.

Information till befintliga kunder
När det gäller dina kunder så är ni inne i en relation. Kanske skickar du nyhetsbrev eller kontaktar dem på annat sätt. Därifrån kan du länka till information på företagets webbplats. Om du inte redan har en policy eller informationstext där, så är det hög tid att publicera en.

Information till potentiella kunder
När det gäller personer som inte är dina kunder (ännu) så är det lite annorlunda. Beroende på vilka kontakter ni haft är det inte självklart att de förväntar sig fler kontakter från er eller ens vet att ni har deras uppgifter. Har ni en pågående relation så bör ni informera dem om det lagen kräver. Om ni inte har någon relation bör ni fråga er om ni har rätt att kontakta dem alls. Kanske ska uppgifterna kastas, som man ju brukar göra med ”döda leads”.


Fundera igenom dessa frågor, läs artikel 13. Kanske är det nu du ska söka rådgivning, eller ta dig tid att gräva lite djupare. Det finns mycket material på nätet men, som ofta när det gäller juridik, är svaret man kan hitta att ”det beror på”. Regeltolkning är dessvärre inte alltid en exakt vetenskap.

 Vill du veta mer? Kolla in vår sida om GDPR 

Lev ut din passion

Här är bokföringsprogrammet för dig som driver företag eller som har en helt-fantastisk-affärsidé-du-måste-förverkliga-nu. Bokföringen puttrar på tryggt och säkert i bakgrunden och skapas av sig självt, simsalabim.

Visma eEkonomi

Lev ut din passion