GDPR – Avtal och Dokument
Integritetsmeddelande
Ett integritetsmeddelande, även kallat för dataskyddspolicy, integritetspolicy eller sekretesspolicy är ett dokument med information om behandling av personuppgifter som ska bli lämnad till de registrerade.
Syftet med ett integritetsmeddelande
Syftet med ett integritetsmeddelande är enligt GDPR att informera de registrerade personerna om hur företaget behandlar persouppgifter. På engelska är det kallat för ”Privacy Policy”.
Det är nästan alltid företaget som är den personuppgiftsansvariga för behandlingen och som därmed bestämmer ändamålen med behandlingen.
Personuppgiftsansvariga har bland annat följande skyldigheter:
- Se till att företaget har de GDPR-relaterade avtal och dokument som företaget behöver för att följa förordningen.
- Ha tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifter och kunna tillgodose de registrerades rättigheter.
Språk och tillgänglighet
integritetsmeddelandet ska enligt GDPR vara skriven med ett enkelt språk, för att läsaren ska förstå innehållet och hur behandlingen går till. Ett integritetsmeddelande bör finnas publicerad på företaget hemsida, för att allmänheten ska kunna läsa den.
Den bör även finns i anslutning till eventuellt kontaktformulär som företaget har på sin hemsida och i samband med anmälan till nyhetsbrev samt i samband med kassan före ett köp via webbshop.
Innehåll i ett integritetsmeddelande enligt GDPR
Personuppgiftsansvarig
Ett integritetsmeddelande ska enligt GDPR innehålla information om vem som är den personuppgiftsansvarige (företagets firma och organisationsnummer) samt kontaktuppgifter till en kontaktperson för ärenden som handlar om personuppgifterna.
Ändamålet med behandlingen
Det bör även framgå information om hur behandlingen av personuppgifterna sker och ändamålet med behandlingen. Exempelvis kan behandlingen ske för att företaget ska kunna skicka beställda produkter till kunden eller för att utföra en beställd tjänst. Då behöver företaget behandla kundens namn och kontaktuppgifter samt eventuella andra personuppgifter. Dessutom ska det framgå vilken rättslig grund som företaget använder för att behandlingen ska vara laglig.
Kategorier av personuppgifter
Företaget ska även skriva vilka typer av personuppgifter som blir behandlade. Exempelvis namn, adressuppgifter, telefonnummer, kontouppgifter, e-postadress, profilbilder, IP-adress eller andra personuppgifter.
Hur personuppgifterna blir insamlade
integritetsmeddelandet ska även innehålla information om hur personuppgifterna blir insamlade. Exempelvis kan det ske genom att en person kontaktar företaget, eller genom att företaget ingår ett avtal med en person.
Hur länge personuppgifterna blir lagrade
Information om hur länge och vart personuppgifterna blir lagrade ska också framgå av integritetsmeddelandet.
Personuppgiftsbiträden och information om vart personuppgifterna blir lagrade
Om företaget anlitar något eller några personuppgiftsbiträden ska det framgå, och de registrerade personerna har rätt att begära information om vilka biträdena är och vart behandlingen sker. Exempelvis inom Sverige, inom EU eller utanför EU. Om personuppgifterna bli behandlade utanför EU/EES, finns särskilda krav, regler och bestämmelser. Här kan du läsa mer om att lagra personuppgifter utanför EU.
Vad företaget gör med personuppgifterna
Dessutom ska det finnas information om vad företaget gör med personuppgifterna. Exempelvis att företaget registrerar uppgifterna i sina interna register, för att erbjuda bättre service eller för att spara beställningshistorik.
De registrerades rättigheter
Det är också viktigt att de registrerades rättigheter framgår i integritetsmeddelandet. De registrerade personerna har bland annat rätt att konstradsfritt få tillgång till sina personuppgifter som företaget behandlar. Registrerade personer har också rätt till korrigering av felaktiga personuppgifter. De har även rätt att begära radering av personuppgifterna, rätt att få dem flyttade (dataportabilitet) och rätt att invända mot att uppgifterna används för direktmarknadsföring och profilering. Registrerade personer har också rätt till information om eventuella dataintrång och incidenter.
Klagomål till tillsyndmyndigheten
integritetsmeddelandet ska också innehålla information om hur och till vem de registrerade kan lämna klagomål avseende behandlingen av personuppgifter och att de alltid har rätt att vända sig till Integritetsskyddsmyndigheten, som är tillsynsmyndigheten.
Behöver ni hjälp med att upprätta ett integritetsmeddelande?
Vid beställning av en ett Integritetsmeddelande gäller det fasta priset som framgår av prislistan. Dessutom har vi skapat olika GDPR-paket som kan passa ditt företag.
Vid beställning av en granskning behöver vi först se avtalet för att göra en bedömningen av arbetets omfattning. När vi har sett avtalet kommer vi att erbjuda dig ett fast pris för arbetet.
I våra fasta priser ingår alltid samtal och genomgång med en jurist via dator och telefon. Du kommer också att få möjlighet att diskutera ärendet med din jurist och ställa frågor.
Mer information
Registerförteckning
Företag som behandlar personuppgifter har en skyldighet att föra ett register över sina behandlingar. Detta gäller oavsett om företaget är personuppgiftsansvarig eller personuppgiftsbiträde. Kravet framgår i artikel 30 i GDPR, som även reglerar vad en sådan registerförteckning måste innehålla. Registret ska vara upprättat i skrift, uppdaterat över tid och finnas tillgänglig i elektroniskt format. Dessutom är det viktigt att känna till att tillsynsmyndigheten (IMY) kan begära tillgång till registret.
Vill du veta mer?
Lär dig mer
Gratis juridikskola
Vi driver olika gratis juridikskolor på LinkedIn och Instagram sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt.
På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.