Personuppgiftsansvarig
En dataskyddspolicy ska enligt GDPR innehålla information om vem som är den personuppgiftsansvarige (företagets firma och organisationsnummer) samt kontaktuppgifter till en kontaktperson för ärenden som handlar om personuppgifterna.
Ändamålet med behandlingen
Det bör även framgå information om hur behandlingen av personuppgifterna sker och ändamålet med behandlingen. Exempelvis kan behandlingen ske för att företaget ska kunna skicka beställda produkter till kunden eller för att utföra en beställd tjänst. Då behöver företaget behandla kundens namn och kontaktuppgifter samt eventuella andra personuppgifter. Dessutom ska det framgå vilken rättslig grund som företaget använder för att behandlingen ska vara laglig.
Kategorier av personuppgifter
Företaget ska även skriva vilka typer av personuppgifter som blir behandlade. Exempelvis namn, adressuppgifter, telefonnummer, kontouppgifter, e-postadress, profilbilder, IP-adress eller andra personuppgifter.
Hur personuppgifterna blir insamlade
Dataskyddspolicyn ska även innehålla information om hur personuppgifterna blir insamlade. Exempelvis kan det ske genom att en person kontaktar företaget, eller genom att företaget ingår ett avtal med en person.
Hur länge personuppgifterna blir lagrade
Information om hur länge och vart personuppgifterna blir lagrade ska också framgå av dataskyddspolicyn.
Personuppgiftsbiträden och information om vart personuppgifterna blir lagrade
Om företaget anlitar något eller några personuppgiftsbiträden ska det framgå, och de registrerade personerna har rätt att begära information om vilka biträdena är och vart behandlingen sker. Exempelvis inom Sverige, inom EU eller utanför EU. Om personuppgifterna bli behandlade utanför EU/EES, finns särskilda krav, regler och bestämmelser. Här kan du läsa mer om att lagra personuppgifter utanför EU.
Vad företaget gör med personuppgifterna
Dessutom ska det finnas information om vad företaget gör med personuppgifterna. Exempelvis att företaget registrerar uppgifterna i sina interna register, för att erbjuda bättre service eller för att spara beställningshistorik.
De registrerades rättigheter
Det är också viktigt att de registrerades rättigheter framgår i dataskyddspolicyn. De registrerade personerna har bland annat rätt att konstradsfritt få tillgång till sina personuppgifter som företaget behandlar. Registrerade personer har också rätt till korrigering av felaktiga personuppgifter. De har även rätt att begära radering av personuppgifterna, rätt att få dem flyttade (dataportabilitet) och rätt att invända mot att uppgifterna används för direktmarknadsföring och profilering. Registrerade personer har också rätt till information om eventuella dataintrång och incidenter.
Klagomål till tillsyndmyndigheten
Dataskyddspolicyn ska också innehålla information om hur och till vem de registrerade kan lämna klagomål avseende behandlingen av personuppgifter och att de alltid har rätt att vända sig till Integritetsskyddsmyndigheten, som är tillsynsmyndigheten.