GDPR guide

GDPR-guiden

Många företagare undrar vad de behöver göra nu när de nya EU-reglerna för dataskydd har börjat gälla. För att underlätta för dig som har ett mindre företag har verksamt.se tillsammans med Datainspektionen tagit fram den här guiden som tar upp det viktigaste grunderna i dataskyddsförordningen.

Sidan blev senast uppdaterad:

Här är ditt resultat

Här får du tips och råd om vad du behöver tänka på när ditt företag hanterar personuppgifter. Det går att skriva ut den här informationen via en länk i slutet av sidan.

Är du redo för de nya dataskyddsreglerna?

Den nya Dataskyddsförordningen berör alla företag och börjar gälla 25 maj 2018. 

Svara ja eller nej på nio snabba frågor. När du har svarat får du ett resultat som visar vad du behöver göra för att följa de nya reglerna.

Guiden är framtagen tillsammans med Datainspektionen. 

Fråga 1 / 9

Har du en förteckning över vilka typer av personuppgifter som finns i ditt företag och hur du använder dessa uppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress.

Även foton på personer räknas som personuppgifter. Registreringsskylten på en bil kan vara en personuppgift om det går att koppla bilen till en person.

Film: Vad är en personuppgift? 
Längd: 1:04 min

Fråga 2 / 9

Har du ett kundregister?

Ett kundregister innehåller uppgifter om dina kunder. Uppgifterna kan lagras i ett program, en webbtjänst eller i exempelvis ett Excel-kalkylark.

Fråga 3 / 9

Skickar du ut nyhetsbrev eller annan marknadsföring till dina kunder?

Nyhetsbrev kan vara ett bra sätt att ha kontakt med sina kunder och driva mer affärer. Normalt är det okej att skicka nyhetsbrev och annan marknadsföring till sina kunder. Men i utskicken måste det i så fall finnas möjlighet för kunden att säga nej till fler utskick. 

Fråga 4 / 9

Har du någon form av bokningssystem där kunder kan boka tid hos dig?

Ja! Ett system där kunderna kan boka tid för besök innehåller personuppgifter som exempelvis namn, telefonnummer och andra kontaktuppgifter till kunden som gjort bokningen. Därför måste du ta hänsyn till reglerna i dataskyddsförordningen.

Fråga 5 / 9

Har du ett register över dina leverantörer?

Ett leverantörsregister innehåller uppgifter om dina leverantörer. Uppgifterna kan exempelvis lagras i ett program, en webbtjänst eller i ett Excel-kalkylark. 

Fråga 6 / 9

Har du anställda och sparar uppgifter i ett lönesystem?

Ja! Har ditt företag anställda, så hanterar ni garanterat personuppgifter om dessa personer. Troligtvis i någon form av program eller webbtjänst för att exempelvis hålla ordning på frånvaro på grund av sjukdom, övertid, semester med mera och för att sköta löneutbetalningar till de anställda. Därför måste du ta hänsyn till reglerna i dataskyddsförordningen.

Fråga 7 / 9

Har du kontaktuppgifter och kanske även foto på några av dina anställda på er webb?

Ja! Dataskyddsförordningen gäller även för personuppgifter som publiceras på er webbplats. Tänk på att även bilder och alla andra uppgifter som kan knytas till en person är personuppgifter.

Fråga 8 / 9

Har du bestämt hur länge uppgifter om dina kunder, leverantörer och anställda ska sparas?

En viktig regel i dataskyddsförordningen är att du inte får spara personuppgifter för länge. När uppgifterna inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. 

Film: Hur länge får man spara personuppgifter?
Längd: 0:57 minuter

Fråga 9 / 9

Skyddar ni uppgifterna om bland annat kunder, leverantörer och anställda så att obehöriga personer inte kan komma åt dem?

De personuppgifter som du hanterar i företaget måste skyddas. Det skyddet kan bestå av tekniska åtgärder som antivirusprogram, brandvägg, trådlöst nätverk med kryptering och datorer med uppdaterade program. Lika viktigt är organisatoriska åtgärder som att du exempelvis begränsar vilka anställda som får ta del av olika typer av personuppgifter. 

Ny lagstiftning som berör alla företag

Från och med 25 maj 2018 har vi en ny lagstiftning kallad dataskyddsförordningen. På engelska förkortas den GDPR. 

GDPR ska stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter.

GDPR innebär att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta för att främja den fria konkurrensen och göra det enklare för företag att expandera och verka i flera EU-länder.

Dataskyddsförordningen ställer strängare krav på hur företag får samla in och använda personuppgifter. Om du som företagare bryter mot reglerna i förordningen så riskerar du kännbara böter. Därför är det viktigt att känna till vilka regler som gäller när du använder personuppgifter i företaget. 

Dataskyddsförordningen ersätter personuppgiftslagen, som idag reglerar hur företag får samla in och använda personuppgifter. 

Förteckning över personuppgiftshanteringen

Vad bra att du har en förteckning som beskriver hur ditt företag hanterar personuppgifter. I princip alla företag är skyldiga att ha en sån förteckning. 

Det här ska förteckningen innehålla:

  • kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna (vanligtvis ditt företag)
  • vad uppgifterna används till (till exempel kundregister, kontaktuppgifter på webbplats)
  • vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller kunder)
  • tidsgräns för borttagning av uppgifter, om möjligt 
  • om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det
  • beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt.

Förteckningen kan du till exempel ha i ett Excel-kalkylark. I takt med att ditt företag växer kommer du säkert att samla in fler personuppgifter och använda dessa för nya ändamål. Tänk på att du då behöver uppdatera förteckningen.

Läs mer om personuppgifter 

Gör en förteckning

Ett första och viktigt steg i att uppfylla kraven i dataskyddsförordningen är att ha koll på vilka personuppgifter som hanteras i ditt företag.

I princip alla företag är enligt förordningen skyldiga att ha en förteckning som beskriver de olika sätt som man hanterar personuppgifter på.

Förteckningen ska innehålla:

  • kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna (vanligtvis ditt företag) 
  • vad uppgifterna används till (till exempel kundregister, kontaktuppgifter på webbplats)
  • vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller kunder)
  • tidsgräns för borttagning av uppgifter, om möjligt 
  • om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det
  • beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt.
Förteckningen kan du till exempel ha i ett Excel-kalkylark. I takt med att ditt företag växer kommer du säkert att samla in fler personuppgifter och använda dessa för nya ändamål. Tänk på att du då behöver uppdatera förteckningen.
 

Gör en förteckning

Ett första och viktigt steg i att uppfylla kraven i dataskyddsförordningen är att ha koll på vilka personuppgifter som hanteras i företaget. Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer räknas som personuppgifter. 

I princip alla företag är enligt förordningen skyldiga att ha en förteckning som beskriver de olika sätt som man hanterar personuppgifter på.

Förteckningen ska innehålla:

  • kontaktuppgifter till den som är ansvarig för hanteringen av personuppgifterna (typiskt sett ditt företag) 
  • vad uppgifterna används till (till exempel kundregister, kontaktuppgifter på webbplats)
  • vilka kategorier av personer och uppgifter som förekommer (till exempel anställda eller kunder)
  • tidsgräns för borttagning av uppgifter, om möjligt 
  • om uppgifterna överförs till ett annat land eller annan organisation ska information finnas om det
  • Beskrivning av säkerhetsåtgärder som används vid behandling, om möjligt.
En sådan förteckning kan du till exempel ha i ett Excel-kalkylark. I takt med att ert företag växer kommer du säkert att samla in fler personuppgifter och använda dessa för nya ändamål. Tänk på att du då behöver uppdatera förteckningen.
 

Kundregister

Det är bra att du har ordning på dina kundrelationer! Men har du också koll på om kundregistret uppfyller reglerna i dataskyddsförordningen?

Vissa uppgifter om kunden får du registrera utan att först få kundens medgivande. Det gäller uppgifter som behövs för att du ska kunna uppfylla avtalet med kunden, som exempelvis kontaktuppgifter och leveransadress. En del andra uppgifter kräver kundens samtycke.

Ibland behöver kunderna ge sitt samtycke
Vill du registrera fler uppgifter om kunden än vad som behövs för att uppfylla avtalet? Då behöver du fråga kunden om lov först.

Sportaffären kanske vill registrera vilka sporter som kunden är intresserad av, och mataffären vilken mat som kunden föredrar.

För att få registrera den typen av uppgifter krävs att kunden ger sitt samtycke, det vill säga att kunden först får information om att du kommer att spara den typen av uppgifter och varför, och sedan godkänner att du gör det. Registrera inte uppgifter som du inte behöver.

Informera kunderna
Du ska också informera kunden om vilken typ av uppgifter du sparar och hur du använder uppgifterna. Det kan du till exempel göra i en kortfattad text i kundinformationen eller avtalet och där hänvisa till mer utförlig information på er webbplats.

Läs mer om att informera kunderna

Var försiktig med omdömen om kunderna
Genom att anteckna kundens intressen kan du skapa ett personligt förhållande till varje kund som på så sätt känner sig välkommen och kommer tillbaka. Säg till exempel att du har en frisörsalong. Att hålla ordning på vad kunden köpte vid det senaste besöket gör att du kan föreslå dessa produkter vid senare besök och på så sätt göra mer affärer. Sådana uppgifter kan få sparas om kunden har samtyckt till det. 

Känsliga uppgifter
Det gäller dock att vara försiktig med vilken typ av uppgifter du antecknar om kunden. Du bör till exempel aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter. 

Läs mer om känsliga uppgifter (Datainspektionen)

Kundregister

De allra flesta företag har någon form av register över sina kunder som innehåller personuppgifter. Även företag som arbetar business-to-business har med all sannolikhet uppgifter om kontaktpersoner på de företag som man gör affärer med. 

Vissa uppgifter om kunden får du registrera utan att först få kundens medgivande. Det gäller uppgifter som behövs för att du ska kunna uppfylla avtalet med kunden, som exempelvis kontaktuppgifter och leveransadress. En del andra uppgifter kräver kundens samtycke.

Ibland behöver kunderna ge sitt samtycke
Vill du registrera fler uppgifter om kunden än vad som behövs för att uppfylla avtalet? Då behöver du fråga kunden om lov först.

Sportaffären kanske vill registrera vilka sporter som kunden är intresserad av, och mataffären vilken mat som kunden föredrar.

För att få registrera den typen av uppgifter krävs att kunden ger sitt samtycke, det vill säga att kunden först får information om att du kommer att spara den typen av uppgifter och varför, och sedan godkänner att du gör det. Registrera inte uppgifter som du inte behöver.

Informera kunderna
Du ska också informera kunden om vilken typ av uppgifter du sparar och hur du använder uppgifterna. Det kan du till exempel göra i en kortfattad text i kundinformationen eller avtalet och där hänvisa till mer utförlig information på er webbplats.

Läs mer om att informera kunderna

Var försiktig med omdömen om kunderna
Genom att anteckna kundens intressen kan du skapa ett personligt förhållande till varje kund som på så sätt känner sig välkommen och kommer tillbaka. Säg till exempel att du har en frisörsalong. Att hålla ordning på vad kunden köpte vid det senaste besöket gör att du kan föreslå dessa produkter vid senare besök och på så sätt göra mer affärer. Sådana uppgifter kan få sparas om kunden har samtyckt till det. 

Känsliga uppgifter
Det gäller dock att vara försiktig med vilken typ av uppgifter du antecknar om kunden. Du bör till exempel aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter. 

Läs mer om känsliga uppgifter (Datainspektionen)

Kundregister

De allra flesta företag har någon form av register över sina kunder som innehåller personuppgifter. Även företag som arbetar business-to-business har med all sannolikhet uppgifter om kontaktpersoner på de företag som man gör affärer med. 

Vissa uppgifter om kunden får du registrera utan att först få kundens medgivande. Det gäller uppgifter som behövs för att du ska kunna uppfylla avtalet med kunden, som exempelvis kontaktuppgifter och leveransadress. En del andra uppgifter kräver kundens samtycke.

Ibland behöver kunden ge sitt samtycke
Vill du registrera fler uppgifter om kunden än vad som behövs för att uppfylla avtalet? Då behöver du fråga kunden om lov först.

Sportaffären kanske vill registrera vilka sporter som kunden är intresserad av, och mataffären vilken mat som kunden föredrar.

För att få registrera den typen av uppgifter krävs att kunden ger sitt samtycke, det vill säga att kunden först får information om att du kommer att spara den typen av uppgifter och varför, och sedan godkänner att du gör det. Registrera inte uppgifter som du inte behöver.

Informera kunden
Du ska också informera kunden om vilken typ av uppgifter du sparar och hur du använder uppgifterna. Det kan du till exempel göra i en kortfattad text i kundinformationen eller avtalet och där hänvisa till mer utförlig information på er webbplats.

Läs mer om att informera kunderna

Var försiktig med omdömen om kunderna
Genom att anteckna kundens intressen kan du skapa ett personligt förhållande till varje kund som på så sätt känner sig välkommen och kommer tillbaka. Säg till exempel att du har en frisörsalong. Att hålla ordning på vad kunden köpte vid det senaste besöket gör att du kan föreslå dessa produkter vid senare besök och på så sätt göra mer affärer. Sådana uppgifter kan få sparas om kunden har samtyckt till det. 

Känsliga uppgifter
Det gäller dock att vara försiktig med vilken typ av uppgifter du antecknar om kunden. Du bör till exempel aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter. 

Läs mer om känsliga uppgifter (Datainspektionen)

Nyhetsbrev och marknadsföring

Normalt är det okej att skicka nyhetsbrev och annan marknadsföring till sina kunder. Men i utskicken måste det finnas möjlighet för kunden att säga nej till fler utskick. Säger en kund nej till mer marknadsföring från dig så måste du respektera kundens önskan. 

Vill du skicka e-post till personer som inte är kunder? Enligt marknadsföringslagen gäller då som huvudregel att en e-postadress enbart får användas i marknadsföringssyfte om personen samtyckt till det på förhand.

Nyhetsbrev och marknadsföring

Om du skulle vilja skicka nyhetsbrev och annan marknadsföring till dina kunder så är det normalt okej att göra det. Men i utskicken måste det i så fall finnas möjlighet för kunden att säga nej till fler utskick. Säger en kund nej till mer marknadsföring från dig så måste du respektera kundens önskan. 

Vill du skicka e-post till personer som inte är kunder? Enligt marknadsföringslagen gäller då som huvudregel att en e-postadress enbart får användas i marknadsföringssyfte om personen samtyckt till det på förhand.

Nyhetsbrev och marknadsföring

Om du skulle vilja skicka nyhetsbrev och annan marknadsföring till dina kunder så är det normalt okej att göra det. Men i utskicken måste det i så fall finnas möjlighet för kunden att säga nej till fler utskick. Säger en kund nej till mer marknadsföring från dig så måste du respektera kundens önskan. 

Vill du skicka e-post till personer som inte är kunder? Enligt marknadsföringslagen gäller då som huvudregel att en e-postadress enbart får användas i marknadsföringssyfte om personen samtyckt till det på förhand.

Tänk på det här när du skickar e-post

Dataskyddsförordningen gäller även personuppgifter som förekommer i mejl, vilket kan vara lätt att missa. 
  • Skicka aldrig känsliga personuppgifter via e-post, till exempel uppgifter om någons hälsa, religiösa åskådning eller politiska åsikter.
  • Undvik även att skicka andra integritetskänsliga uppgifter som exempelvis lönebesked via e-post.
  • För över personuppgifter till andra system och radera mejlet. Mejlar en anställd in och sjukanmäler sig, registrera det i lönesystemet och radera mejlet.
  • Om ni har kontaktformulär på er webb som genererar ett mejl till er, så försök att undvika fritextfält. Har ni sådana fält så uppmana den som fyller i formuläret att inte skriva in några personuppgifter i fältet.
  • Bestäm hur länge ni behöver spara e-post och radera mejlen efter den tiden. Spara aldrig mejl med personuppgifter ”för att det kan vara bra att ha”.
  • Informera era anställda om ovanstående punkter.

Bokningssystem

Samma regler gäller för ett bokningssystem som för ett kundregister. Alltså: uppgifter som kunden kan förväntas förstå att du behöver för en bokning går bra att registrera. 

Skulle du vilja föra några andra anteckningar, som exempelvis vad kunden föredrog vid förra besöket, så krävs normalt att du först fått kundens medgivande att spara den typen av uppgifter.

Skulle du få ett sådant medgivande är det viktigt att aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter.

Bokningssystem

Skulle du i framtiden börja använda ett bokningssystem så kan du gå igenom denna guide på nytt för att få mer information om vad som gäller.

Bokningssystem

Samma regler gäller för ett bokningssystem som för ett kundregister. Alltså: uppgifter som kunden kan förväntas förstå att du behöver för en bokning går bra att registrera. 

Skulle du vilja föra några andra anteckningar, som exempelvis vad kunden föredrog vid förra besöket, så krävs normalt att du först fått kundens medgivande att spara den typen av uppgifter.

Skulle du få ett sådant medgivande är det viktigt att aldrig skriva ner omdömen om kunden eller några som helst känsliga uppgifter om exempelvis kundens hälsa, religiösa åskådning eller politiska åsikter.

Leverantörsuppgifter

Ett leverantörsregister innehåller normalt endast uppgifter om juridiska personer. Sådana uppgifter är inte personuppgifter och omfattas inte av reglerna i dataskyddsförordningen.

Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner på företagen är dock personuppgifter, och sådana personuppgifter är tillåtna att hantera för att hantera avtalet med leverantörerna.

Leverantörsregister

Många företag köper in produkter eller tjänster, men inte alla. Även om ditt företag inte registrerar några uppgifter om leverantörer så kan det vara bra att känna till att uppgifter om juridiska personer inte omfattas av reglerna i dataskyddsförordningen. 

Ett leverantörsregister innehåller normalt endast uppgifter om juridiska personer. Sådana uppgifter är inte personuppgifter.

Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner på företagen är dock personuppgifter, och sådana personuppgifter är tillåtna att hantera för att hantera avtalet med leverantörerna. 

Leverantörsregister

Ett leverantörsregister innehåller normalt endast uppgifter om juridiska personer. Sådana uppgifter är inte personuppgifter och omfattas inte av reglerna i dataskyddsförordningen. 

Uppgifter om enskilda näringsidkare och uppgifter om kontaktpersoner på företagen är dock personuppgifter, och sådana personuppgifter är tillåtna att hantera för att hantera avtalet med leverantörerna.

Löner och andra uppgifter om era anställda

Som arbetsgivare måste du hantera personuppgifter om dina anställda.

Vissa uppgifter behöver du registrera för att kunna uppfylla avtalet mellan dig som arbetsgivare och din anställda. Det kan vara uppgifter som behövs för att beräkna den anställdas lön men även uppgifter för in- och utpasseringssystem, telefonväxel och för andra it-system.

Företaget behöver även hantera personuppgifter om de anställda för att leva upp till lagkrav som exempelvis rapportering av skatter och sociala avgifter. 

Om du vill spara kontaktuppgifter till anhöriga för att kunna kontakta dessa vid olycksfall eller sjukdom så bör du ge skriftlig information om detta som din anställda kan ta med till sina anhöriga.

Uppgifter om anställda

Skulle du i framtiden anställa personal så kan du gå igenom denna guide på nytt för att få mer information om vad som gäller.

Löner och andra uppgifter om era anställda

Som arbetsgivare måste du hantera personuppgifter om dina anställda. 

Vissa uppgifter behöver du registrera för att kunna uppfylla avtalet mellan dig som arbetsgivare och din anställda. Det kan vara uppgifter som behövs för att beräkna den anställdas lön men även uppgifter för in- och utpasseringssystem, telefonväxel och för andra it-system.

Företaget behöver även hantera personuppgifter om de anställda för att leva upp till lagkrav som exempelvis rapportering av skatter och sociala avgifter. 

Om du vill spara kontaktuppgifter till anhöriga för att kunna kontakta dessa vid olycksfall eller sjukdom så bör du ge skriftlig information om detta som din anställda kan ta med till sina anhöriga.

Personuppgifter på webben – fråga först!

Kontaktuppgifter och även foto på anställda är personuppgifter.

För att publicera sådana uppgifter på företagets webb så behöver du ha en rättslig grund, du måste alltså kunna visa att du har stöd för det i dataskyddsförordningen.

Det gör du lättast genom att fråga din anställda om det är okej att publicera kontaktuppgifter och foton på webben. Tänk på att du då måste respektera de anställdas vilja.

Om företaget kan motivera att det är viktigt för företaget att publicera uppgifterna, till exempel för att den anställda är en chef eller har kundorienterade arbetsuppgifter, så kan det ändå vara okej att publicera uppgifterna utan den anställdas medgivande.

Du måste alltid informera dina anställda om att deras bilder och andra personuppgifter kommer att publiceras på er webbplats. 

Läs mer om olika rättsliga grunder för att få samla in personuppgifter

Personuppgifter på webben

Skulle du i framtiden vilja ha foton eller kontaktuppgifter på er webbplats så kan du gå igenom denna guide på nytt för att få mer information om vad som gäller.

Personuppgifter på webben – fråga först!

Kontaktuppgifter och även foto på anställda är personuppgifter. 

För att publicera sådana uppgifter på företagets webb så behöver du ha en rättslig grund, du måste alltså kunna visa att du har stöd för det i dataskyddsförordningen. 

Det gör du lättast genom att fråga din anställda om det är okej att publicera kontaktuppgifter och foton på webben. Tänk på att du då måste respektera de anställdas vilja.

Om företaget kan motivera att det är viktigt för företaget att publicera uppgifterna, till exempel för att den anställda är en chef eller har kundorienterade arbetsuppgifter, så kan det ändå vara okej att publicera uppgifterna utan den anställdas medgivande.

Du måste alltid informera dina anställda om att deras bilder och andra personuppgifter kommer att publiceras på er webbplats. 

Läs mer om olika rättsliga grunder för att få samla in personuppgifter

Spara inte personuppgifter längre än nödvändigt

Det är bra att ditt företag har bestämt hur länge personuppgifter ska sparas. En viktig regel i dataskyddsförordningen är att du inte får spara personuppgifter för länge. 

När uppgifterna inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder ska tas bort från it-systemen.

Kunduppgifter får sparas ett år efter avslutad kundrelation
En tumregel enligt Datainspektionen är att personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört.

Om du som säljare behöver kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter sparas tills garantin har gått ut.

Skapa rutiner för att ta bort uppgifter
Ett tips är att i din förteckning över vilka personuppgifter som hanteras i företaget även ange hur länge olika typer av uppgifter behöver sparas. Sedan gäller det även att ha rutiner på plats som säkerställer att uppgifterna verkligen tas bort efter utsatt tid.

Spara inte personuppgifter längre än nödvändigt

En viktig regel i dataskyddsförordningen är att man inte får spara personuppgifter för länge.

När uppgifterna inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder ska tas bort från it-systemen.

Kunduppgifter får sparas ett år efter avslutad kundrelation
En tumregel enligt Datainspektionen är att personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört.

Om du som säljare behöver kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter sparas tills garantin har gått ut.

Skapa rutiner för att ta bort uppgifter
Ett tips är att i din förteckning över vilka personuppgifter som hanteras i företaget även ange hur länge olika typer av uppgifter behöver sparas. Sedan gäller det även att ha rutiner på plats som säkerställer att uppgifterna verkligen tas bort efter utsatt tid.

Spara inte personuppgifter längre än nödvändigt

En viktig regel i dataskyddsförordningen är att man inte får spara personuppgifter för länge. 

När uppgifterna inte längre behövs för det syfte som de en gång samlades in för, så ska de tas bort. För ett företag innebär det till exempel att uppgifter om personer som inte längre är kunder ska tas bort från it-systemen.

Kunduppgifter får sparas ett år efter avslutad kundrelation
En tumregel enligt Datainspektionen är att personuppgifter om en tidigare kund i normala fall får användas för marknadsföringsändamål under ett års tid efter att kundrelationen har upphört.

Om du som säljare behöver kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter sparas tills garantin har gått ut.

Skapa rutiner för att ta bort uppgifter
Ett tips är att i din förteckning över vilka personuppgifter som hanteras i företaget även ange hur länge olika typer av uppgifter behöver sparas. Sedan gäller det även att ha rutiner på plats som säkerställer att uppgifterna verkligen tas bort efter utsatt tid.

Tänk på att skydda personuppgifterna

Antivirusprogram, trådlöst nätverk med kryptering och datorer med uppdaterade program är några exempel på hur man höjer säkerheten inom företaget. Tänk också på att säkerhetskopiera uppgifterna.

Begränsa vilka som kommer åt personuppgifter
Glöm inte organisatoriska säkerhetsåtgärder som att begränsa vilka anställda som får komma åt olika typer av personuppgifter. Informera anställda om att inte skicka känsliga personuppgifter via e-post och att inte använda omdömen i eventuella fritextfält.

Hur mycket krut ska man lägga på att skydda de personuppgifter som finns i företaget?

Det beror på. Ju fler personuppgifter som finns i företaget eller ju känsligare uppgifterna är, desto mer ska uppgifterna skyddas. Det handlar om att göra en riskbedömning: om någon obehörig kommer åt våra uppgifter, hur stor kan skadan bli? Anpassa sedan skyddet därefter.

Tänk på att skydda personuppgifterna

Det kan vara så att ni faktiskt har vidtagit åtgärder för att skydda uppgifter om exempelvis era kunder och anställda, men utan att tänka på det. Antivirusprogram, trådlöst nätverk med kryptering och datorer med uppdaterade program är några exempel på hur man höjer säkerheten inom företaget.

Begränsa vilka som kommer åt personuppgifter
Glöm inte organisatoriska säkerhetsåtgärder som att begränsa vilka anställda som får komma åt olika typer av personuppgifter. Informera anställda om att inte skicka känsliga personuppgifter via e-post och att inte använda omdömen i eventuella fritextfält.

Tänk också på att säkerhetskopiera uppgifterna.

Tänk på att skydda personuppgifterna

Antivirusprogram, trådlöst nätverk med kryptering och datorer med uppdaterade program är några exempel på hur man höjer säkerheten inom företaget. Tänk också på att säkerhetskopiera uppgifterna.

Begränsa vilka som kommer åt personuppgifter
Glöm inte organisatoriska säkerhetsåtgärder som att begränsa vilka anställda som får komma åt olika typer av personuppgifter. Informera anställda om att inte skicka känsliga personuppgifter via e-post och att inte använda omdömen i eventuella fritextfält.

Hur mycket krut ska man lägga på att skydda de personuppgifter som finns i företaget?

Det beror på. Ju fler personuppgifter som finns i företaget eller ju känsligare uppgifterna är, desto mer ska uppgifterna skyddas. Det handlar om att göra en riskbedömning: om någon obehörig kommer åt våra uppgifter, hur stor kan skadan bli? Anpassa sedan skyddet därefter.

Viktigt om den här guiden!

I den här guiden tas några av de viktigaste grunderna i dataskyddskyddsförordningen upp. Men guiden tar inte upp alla krav och bedömningar som kan bli aktuella då personuppgifter samlas in och hanteras. 

Mer information om dataskyddsförordningen finns på Datainspektionens webbplats.

Ansvarig: Tillväxtverket

Till sidans topp