Alla företag som på något sätt behandlar och sparar personuppgifter måste ha en dataskyddspolicy, det vill säga en GDPR-policy. Som personuppgifter räknar man all information som på något sätt har en koppling till dig, vare sig det är direkt eller indirekt. Det kan vara allt från namn, adress, telefonnummer och personnummer till mejladress med ditt namn, id-kortnummer, ja till och med din IP-adress. Även bilder, videos och ljudupptagningar räknas som personuppgifter.
I er GDPR-policy finns det ett antal punkter ni måste ha lättillgängliga för era besökare. Informationen måste vara rak och tydlig. Annars är risken att ni råkar ut för böter för att ha brutit mot GDPR. Och framförallt måste det finnas en rättslig grund som gör att ni får samla andras personuppgifter.
Det finns sex rättsliga grunder och ni måste kunna hänvisa att ni behandlar personuppgifter till någon av dem. Organisationer som på något sätt behandlar personuppgifter måste kunna hänvisa till:
- att användaren har gett samtycke till att ni får spara hens uppgifter.
- att ni har ett avtal med användaren där hens personuppgifter sparas på grund av detta.
- att ni har en rättslig förpliktelse som gör att ni enligt lag måste spara vissa personuppgifter.
- att ni måste behandla personuppgifter för att skydda en persons grundläggande intresse, det vill säga att det behövs för att rädda hens liv. Detta gäller främst vården.
- att ni är en myndighet, att behandligen av personuppgifter ingår i myndighetsutövning och är en uppgift av allmänt intresse.
- att ni gör en intresseavvägning och att ni då får behandla personuppgifter om era intressen väger tyngre än användarens och behandlingen av personuppgifter därför är nödvändig. Det här kan till exempel vara aktuellt om ni är en större koncern och ni måste dela personuppgifter med andra inom koncernen för att kunna betala ut lön och liknande.
1. Er GDPR-policy ska innehålla vem som är personuppgiftsansvarig
Vem som är personuppgiftsansvarig beror på bolagsformen. Det är oftast inte en fysisk person som är personuppgiftsansvarig utan det är själva organisationen som är det. Är ni ett bolag så är det bolaget i sin helhet som är personuppgiftsansvarig. Är ni en förening så är det föreningen i sin helhet som är det. En fysisk person kan också vara personuppgiftsansvarig, men då är det i exempelvis enskilda firmor.
2. Varför samlar ni in personuppgifter?
Olika organisationer har olika anledningar att samla personuppgifter. Det som är viktigt att tänka på är att personuppgifterna ni samlar inte bara gäller era användare, utan även era anställda. Exempelvis är uppgifter ni samlar i lönesystem sådant som måste följa GDPR. Likaså om ni vill kommunicera med era användare, exempelvis genom ett nyhetsbrev.
Oavsett anledning är det särskilt viktigt att vara tydlig i er GDPR-policy med varför ni samlar in personuppgifter. Både för att användarna lätt ska kunna få den informationen, men också för att ni inte får använda informationen ni har samlat på annat sätt än det ni anger. Ni får till exempel inte samla in mejladresser för att era användare ska kunna skapa egna konton hos er och sen i ett senare skede använda samma uppgifter för att börja skicka ut nyhetsbrev till dem. Vill ni ändra ändamålet måste ni gå ut med informationen till era användare och vara tydlig i hur ändringen påverkar dem och varför ni framöver kommer samla deras personuppgifter.
3. Var lagrar ni personuppgifterna?
Lagrar ni uppgifterna hos er eller lagrar ni dem i ett annat land? Beroende på var ni lagrar uppgifterna behöver ni kolla upp så att landet har en tillräckligt hög skyddsnivå av personuppgifter enligt EU/EES-standard. Om landet inte har det får du nämligen inte lagra personuppgifter i det landet. Kolla därför upp om det finns beslut från EU-kommissionen kring skyddsnivån i landet ni kommer lagra uppgifterna i. Om det inte finns ett sånt beslut behöver ni i stället komplettera med standardavtalsklausuler som EU-kommissionen beslutat om. Eftersom såna klausuler ibland också måste kompletteras med andra skyddsåtgärder enligt EU-domstolen är det bra att ta in en GDPR-expert som kan se till att er GDPR-policy är vattentät.
Behöver du juridisk hjälp?
4. Vilka uppgifter ni kommer att samla ska stå med i er GDPR-policy
Även när det gäller vilka personuppgifter ni samlar in måste ni vara tydliga och får inte ändra och samla in helt andra personuppgifter utan godkännande. Om det sker en förändring hos er digitalt som gör att era system samlar in nya personuppgifter måste ni gå ut med den informationen till era användare. Kom ihåg att här gäller det att vara tydlig och inkludera precis alla uppgifter som anses vara personuppgifter. All information som på något sätt kan kopplas till enskilda personer är personuppgifter och ska kategoriseras i er GDPR-policy.
5. Vilka kommer ha tillgång till personuppgifterna?
Är det fler parter än ni som kommer ha tillgång till uppgifterna? Har ni externa leverantörer som har access till dem? Eller finns det andra parter ni samarbetar med som kommer att ha tillgång till de personuppgifter ni samlar? Då måste det också stå i er policy. Ni måste även tydliggöra vilka rättigheter och skyldigheter era samarbetspartners har. Det viktiga här är att de personuppgifter ni samlar inte riskerar missbrukas av partners som använder dem för andra syften än det ni informerar era användare om.
6. Hur länge kommer ni lagra uppgifterna?
Beroende på hur ni tänker använda personuppgifterna är perioden för hur länge ni tänker lagra dem olika. Ni får helt enkelt spara uppgifterna så länge ni behöver dem för det ändamål ni har angett i er policy. När ändamålet inte längre är aktuellt måste ni radera uppgifterna.
Ibland kan ni däremot behöva ange att ni inte vet hur länge ni kommer att behöva lagra personuppgifterna. Då måste ni i stället ange varför ni inte kan begränsa lagringen i tid.
7. Era användares rättigheter ska stå i er GDPR-policy
Enligt GDPR har alla rätt att få tillgång till de personuppgifter företag samlar som är ens egna. Alla har rätt att både få ett utdrag och få uppgifter ändrade om de inte stämmer. Dessutom har alla rätt till att i de allra flesta fall begära att få sina uppgifter raderade. Det är bara om det inte finns några andra lagliga hinder som gör att ni inte får radera uppgifterna som detta inte gäller. Det här undantaget gäller dock främst myndigheter. För de flesta bolag gäller att om en användare vill att bolaget ska radera personens uppgifter så måste bolaget göra det.
8. Vart skickar användarna in eventuella klagomål?
Januari 2021 bytte Datainspektionen namn till Integritetsskyddsmyndigheten. Det är de som ser till att svenska företag följer GDPR. Det är också dit privatpersoner kan höra av sig med klagomål om de är bekymrade över hur ett företag hanterar deras personuppgifter. Därför måste ni ha med uppgifter till Integritetsskyddsmyndigheten i er policy så era användare enkelt kan ta vidare eventuella frågor, funderingar och klagomål.