Fråga: Hej, är en dataskyddspolicy och integritetspolicy samma sak? Jag driver ett företag där vi lagrar och behandlar personuppgifter, exempelvis kundnamn. Efter att GDPR trädde i kraft, måste företag ha vissa avtal och dokument för att följa det. I vissa fall har läst att jag behöver en dataskyddspolicy, och i andra fall att jag behöver en integritetspolicy, men jag har inte riktigt förstått skillnaden.
Är en dataskyddspolicy och integritetspolicy samma sak?
Svar: Ja, det stämmer att en dataskyddspolicy och integritetspolicy är samma sak. Detta är två olika benämningar på samma typ av dokument. Det kan även bli kallat för sekretesspolicy och personuppgiftspolicy. På svenska har denna policy fått flera olika namn som avser översättningar av den engelska benämningen Privacy Policy. I Sverige finns inte någon officiell benämning av detta dokument. Därför har det fått flera olika benämningar som olika företag, organisationer och myndigheter använder.
En integritetspolicy/dataskyddspolicy är ett GDPR dokument som alla företag som behandlar personuppgifter behöver. I detta dokument ska det framgå information om hur företaget behandlar personuppgifter, ändamålet med behandlingen, lagringsplatsen, lagringstiden, vem personuppgifter blir delade med, rättigheter enligt GDPR m.m.
Dessutom ska företag ha en registerförteckning och bör ha interna rutiner med tillhörande loggböcker, för att styrka att företag följer GDPR.
I vissa fall kan företag också behöva ha ett personuppgiftsbiträdesavtal. Detta blir aktuellt om ett företag ska dela personuppgifter som företaget är personuppgiftsansvarig över, till någon annan som ska behandla personuppgifterna för företagets räkning. Det som måste bli reglerat i detta avtal, framgår i artikel 28 GDPR.
