Dataskyddsförordningen
GDPR Guide för Företag
En omfattande guide för att förstå och efterleva GDPR. Vi går igenom grundprinciperna, individens rättigheter och praktiska steg för att säkerställa att ditt företag hanterar personuppgifter korrekt.
Introduktion
Vad är GDPR?
Varför är det viktigt?
Dataskyddsförordningen trädde i kraft den 25 maj 2018 och ersatte den svenska Personuppgiftslagen (PUL). Syftet är att skapa en enhetlig dataskyddslagstiftning inom hela EU och att anpassa lagen till den digitala utvecklingen.Skydd av personuppgifter
GDPR (General Data Protection Regulation) är en EU-förordning som syftar till att stärka skyddet för privatpersoners personuppgifter. Det handlar om att ge individer kontroll över sin egen data.
Gäller alla företag
Alla företag som behandlar personuppgifter om EU-medborgare måste följa lagen, oavsett var företaget har sitt säte. Detta inkluderar kundregister, anställdas uppgifter och marknadsföringslistor.
Höga sanktionsavgifter
Att inte följa GDPR kan bli dyrt. Myndigheter kan utfärda böter på upp till 20 miljoner euro eller 4% av den globala omsättningen, beroende på vad som är högst.
Osäker på reglerna?
Gör vårt snabba GDPR-quiz på 2 minuter och se om ditt företag uppfyller kraven.
De 7 Grundprinciperna i GDPR
För att följa GDPR måste ditt företag arbeta utifrån dessa sju grundläggande principer vid all behandling av personuppgifter.
Laglighet, korrekthet och öppenhet
Du måste ha lagligt stöd för att behandla data, göra det på ett korrekt sätt och vara öppen mot den registrerade om hur datan används.
Ändamålsbegränsning
Du får bara samla in uppgifter för specifika, särskilt angivna och berättigade ändamål. Du får inte använda datan till något annat senare.
Uppgiftsminimering
Samla inte in mer information än vad som är nödvändigt för ändamålet. 'Bra att ha'-data är inte tillåtet.
Korrekthet
Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Felaktiga uppgifter ska raderas eller rättas utan dröjsmål.
Lagringsminimering
Spara inte personuppgifter längre än nödvändigt. När syftet är uppfyllt ska datan raderas eller avidentifieras.
Integritet och konfidentialitet
Du måste skydda uppgifterna mot obehörig åtkomst, förlust eller förstörelse genom lämpliga tekniska och organisatoriska åtgärder.
Ansvarsskyldighet
Du måste kunna visa att du följer principerna. Dokumentation av dina processer och beslut är avgörande.
Individens Rättigheter
GDPR ger individer (de registrerade) starka rättigheter som ditt företag måste kunna hantera.
Rätt till information
Individer har rätt att få veta när och hur deras personuppgifter behandlas. Detta löses oftast genom en tydlig integritetspolicy.
Rätt till tillgång (Registerutdrag)
En person kan begära att få veta vilka uppgifter ni har om dem. Ni måste svara inom en månad och det ska vara kostnadsfritt.
Rätt till rättelse
Om uppgifter är felaktiga har individen rätt att få dem rättade. Ni måste också komplettera ofullständiga uppgifter.
Rätt till radering ('Rätten att bli bortglömd')
Under vissa omständigheter kan en person kräva att ni raderar deras uppgifter, t.ex. om de inte längre behövs för ändamålet.
Rätt till dataportabilitet
Individer har rätt att få ut sina uppgifter i ett maskinläsbart format för att kunna flytta dem till en annan tjänst.
Checklista
Är ditt företag redo?
Praktiska steg för compliance
Att bli GDPR-compliant är inte en engångsinsats utan ett pågående arbete. Använd denna checklista som en startpunkt för att se över era rutiner.Kartläggning
Vet ni vilka personuppgifter ni behandlar, varför, och var de lagras? Gör en registerförteckning.
Rättslig grund
Säkerställ att ni har stöd i lagen för all behandling (t.ex. samtycke, avtal, rättslig förpliktelse eller intresseavvägning).
Integritetspolicy
Har ni en uppdaterad och tydlig policy på hemsidan som informerar om hur ni hanterar data?
Säkerhetsåtgärder
Har ni tekniska skydd (brandväggar, kryptering) och rutiner för att upptäcka och rapportera personuppgiftsincidenter?
Personuppgiftsbiträdesavtal (PUB-avtal)
Har ni tecknat avtal med alla leverantörer (t.ex. molntjänster, lönesystem) som behandlar data åt er?
Testa din verksamhet
Är du osäker på om ni uppfyller alla krav? Gör vårt snabba GDPR-quiz för att få en indikation på er status och vad ni behöver förbättra.
FAQ
Vanliga frågor om GDPR
Här svarar vi på några av de vanligaste frågorna vi får från företagare.
Måste alla företag ha ett dataskyddsombud?
Nej, inte alla. Det krävs främst för myndigheter, eller om kärnverksamheten består av regelbunden och systematisk övervakning av individer i stor skala, eller behandling av känsliga personuppgifter i stor skala.
Vad räknas som en personuppgift?
All information som direkt eller indirekt kan kopplas till en levande fysisk person. Det inkluderar namn, personnummer, e-postadresser, bilder, IP-adresser och till och med registreringsnummer på bilar om det kan kopplas till en ägare.
Vad händer om vi råkar läcka data?
En personuppgiftsincident måste rapporteras till Integritetsskyddsmyndigheten (IMY) inom 72 timmar efter att den upptäckts, om det är sannolikt att incidenten medför risker för individers fri- och rättigheter.
Får vi skicka nyhetsbrev till vem som helst?
Nej. För privatpersoner krävs oftast samtycke (opt-in) eller att det finns ett befintligt kundförhållande (mjuk opt-in). Marknadsföringslagen gäller parallellt med GDPR.
Behöver ni hjälp med GDPR?
Vi hjälper er att se över era rutiner, upprätta registerförteckningar och säkra era system. Boka ett möte idag.