Gå till huvudinnehåll

Hantera personuppgifter

GDPR gäller alla företag som är verksamma inom EU och har till syfte att säkerställa en trygg hantering av personuppgifter. Som företagare ansvarar du för kunders, anställdas och leverantörers personuppgifter och för att lagen följs.

Personuppgifter är all information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.

Ett organisationsnummer är en personuppgift om det handlar om en enskild firma. Registreringsnumret på en bil är en personuppgift om det går att knyta till en person, medan registreringsnumret på en firmabil som används av flera anställda, inte är en personuppgift.

I vissa fall räknas även olika slags elektroniska identiteter, som exempelvis ip-nummer, som personuppgifter om de kan kopplas till en viss person.

Läs mer om personuppgifter hos Integritetsskyddsmyndigheten (IMY)

Se Integritetsskyddsmyndighetens (IMY) filmer om GDPR

Du måste ha stöd i lagen för att få samla in personuppgifter, det kallas för att ha en rättslig grund. Det finns olika typer av rättsliga grunder. En kan till exempel vara ett avtal mellan dig och en kund, då har du rätt att samla in de uppgifter som behövs för att uppfylla avtalet. För att få samla in vissa andra uppgifter behövs samtycke, det vill säga du behöver be personen om lov först.

Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften. 

Ett företag kan till exempel utrusta sina bilar med speciell gps-utrustning som används för elektroniska körjournaler för att förenkla redovisningen till Skatteverket. Men arbetsgivaren får inte använda uppgifterna som gps:en samlar in för att kontrollera hur långa raster de anställda tar.

Man måste ha stöd i dataskyddsförordningen för att få hantera personuppgifter. Det kallas för att ha en rättslig grund. Det finns olika rättsliga grunder som företag kan använda. De viktigaste är:

Rättslig förpliktelse

I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.

Avtal

Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet.

Samtycke

En annan rättslig grund är samtycke, som innebär att du ber personen ifråga att få registrera uppgifter om hen. Ett samtycke är enligt dataskyddsförordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”.

Ska ditt företag samla in uppgifter så måste personen först få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att sedan kunna ge sitt godkännande. 

Intresseavvägning

Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att man har ett berättigat behov av att hantera uppgifterna och att detta behov väger tyngre än den enskildas rätt till skydd för uppgifterna.

Exempel på rättsliga grunder

Här är några exempel på rättsliga grunder som kan användas då personuppgifter hanteras i olika it-system: 

  • lönesystem, rättslig grund = avtal och rättslig förpliktelse
  • kundregister, rättslig grund = avtal (för vissa uppgifter krävs samtycke)
  • webbplats, rättslig grund = samtycke eller intresseavvägning.

Läs mer om rättslig grund hos Integritetsskyddsmyndigheten (IMY)

IMY kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift, vilket är en form av böter.

Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. 

Risken för kännbara böter har gjort att många företag nu börjar se över hur de samlar in och hanterar personuppgifter. Faktum är dock att det i Sverige även tidigare funnits lagstiftning, i form av personuppgiftslagen, som reglerar och begränsar hur företag får använda personuppgifter.

För mer information om vad tillsynen kan leda till hos Integritetsskyddsmyndigheten (IMY)

Korrekta personuppgifter skapar trygghet och ordning och reda

Förutom risken för böter om du hanterar personuppgifter i strid med lagen, varför ska ditt företag över huvud taget bry sig om hur det hanterar personuppgifter? 

Genom att bara ha korrekta och relevanta uppgifter om befintliga kunder i kundregistret behöver du som företagare inte känna någon tveksamhet eller oro över att uppgifterna i registret inte är tillförlitliga.

Alla företag, oavsett verksamhet, gynnas av att ha ordning och reda på sin produktion, sina kundkontakter, sin bokföring och sitt sätt att hantera personuppgifter. En av grundprinciperna i dataskyddsförordningen är att man enbart ska samla in personuppgifter för ett visst, i förväg bestämt syfte, som exempelvis för att kunna sköta avtal, leverans och fakturering till sina kunder. Du får enbart samla in de uppgifter som behövs för att uppfylla det bestämda syftet och uppgifterna ska bara sparas så länge det är nödvändigt.

En annan viktig princip i förordningen är att de personuppgifter som du har i företaget ska skyddas så att de inte stjäls, oavsiktligt raderas eller att någon obehörig kommer åt dem. Uppgifter om ditt företags kunder, leverantörer och anställda är så klart viktiga ur ett konkurrenshänseende. Du vill förmodligen undvika att någon konkurrent ska komma åt uppgifter om dina kunder.

Det har förekommit att hackare kommit över mängder av personuppgifter och då ofta kreditkortsuppgifter. Oavsett storlek kan företag som tappar kontroll över uppgifter om exempelvis sina kunder räkna med kostnader i badwill, inte minst från de personer som lämnat sina uppgifter till företaget i tro om att de ska hanteras på ett ansvarsfullt och lagligt sätt.

I flera branscher har uppförandekoder och certifieringar blivit ett sätt för företag att visa att de exempelvis bedriver sin verksamhet på ett etiskt, socialt eller miljömässigt sätt. För många företag har det blivit en konkurrensfördel att uppfylla en viss uppförandekod eller inneha en viss certifiering.

Uppförandekoder är något som uppmuntras i dataskyddsförordningen. Genom att i framtiden ansluta ditt företag till en uppförandekod som rör hur personuppgifter hanteras, kan kunder och leverantörer känna sig trygga med hur du hanterar deras uppgifter, något som kan bli en konkurrensfördel.

På samma sätt som dåligt skyddade personuppgifter kan ge ditt företag kostnader i badwill, kan du räkna med goodwill om du på ett bra och tydligt sätt kan visa att du följer reglerna i dataskyddsförordningen.

En av tankarna med dataskyddsförordningen är att se till att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta gör det enklare för företag att expandera och verka i flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen behöver alltså inte bekymra sig för att reglerna för hur uppgifter om exempelvis kunder får hanteras är annorlunda i något annat EU-land. Har du ordning på hur personuppgifter hanteras i ditt företag nu så är du förberedd för en framtida expansion.

Dataskyddsförordningen innehåller en lång rad regler och krav för hur personuppgifter får hanteras i en organisation. Dessa regler ger dock inte särskilt mycket vägledning hur du som småföretagare får behandla personuppgifter om dina kunder, leverantörer, anställda och andra.

Men alla dessa regler, skäl och annan juridisk text i förordningen bottnar i några få grundläggande principer:

  • Samla in och hantera endast personuppgifter om det är tillåtet.
  • Informera de personer vars uppgifter du samlar in. Det kan vara uppgifter om exempelvis kunder, leverantörer och anställda.
  • Bestäm i förväg vad personuppgifterna ska användas till och använd inte uppgifterna för något annat syfte.
  • Samla inte in fler personuppgifter än vad som behövs. Samla aldrig in personuppgifter ”därför att det kan vara bra att ha”.
  • Se till att personuppgifterna är korrekta och uppdaterade.
  • Radera personuppgifter som inte längre behövs.
  • Skydda uppgifterna från otillåten användning och obehörig åtkomst.
  • Dokumentera hur du har tänkt i din hantering av personuppgifter.

Vill man förenkla dessa grundläggande principer lite till så kommer du rätt långt genom att bara följa de här tre punkterna:

  • Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål.
  • Spara inte uppgifterna längre än nödvändigt.
  • Skydda de personuppgifter du hanterar i företaget.

Läs mer om grundläggande principer hos Integritetsmyndigheten (IMY)

När du samlar in uppgifter om en person så måste du informera personen i fråga. I dataskyddsförordningen finns en lång lista över vilken information som ska ges, men kort sagt ska du tala om att du samlar in personuppgifter, vilka uppgifter det handlar om och varför du gör det.

Kommer du att lämna uppgifterna vidare till andra, måste du tala om det. Tänk på att informationen måste vara tydlig och begriplig och helst skriftlig.

Det här behöver bland annat finnas med i informationen

  • Vem som är ansvarig för att personuppgifterna hanteras. Detta är vanligtvis ditt företag. Det är inte en person förutom för enskilda firmor. Informationen ska inkludera kontaktuppgifter till företaget.
  • Varför uppgifterna samlas in och hur de ska användas. 
  • Vilken den rättsliga grunden är (exempelvis för att uppfylla ett avtal med kunden).
  • Hur länge du kommer att spara uppgifterna (exempelvis maximalt ett år efter avslutad kundrelation).
  • Om du har angett samtycke som den rättsliga grunden (det kan till exempel vara för att kunna skicka marknadsföring till personen), då måste du också informera om att personen alltid har rätt att dra tillbaka sitt samtycke, vilket innebär att du då måste sluta skicka marknadsföring till personen.
  • Att den person vars uppgifter du registrerar har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om hen.
  • Att ditt företag är skyldigt att rätta uppgifter som är felaktiga, ofullständiga eller missvisande.

De registrerades rättigheter hos Integritetsmyndigheten (IMY)