GDPR för småföretagare kan vara krångligt, speciellt om man är ensamföretagare. Det är vanligt att ha flera olika arbetsuppgifter som småföretagare och då kan det redan vara mycket att hålla reda på. I Sverige finns ungefär 1 miljon företag och de flesta har mindre än 9 anställda. Småföretagare är en viktig del av ekonomin och vårt samhälle.
Kort om GDPR
GDPR gäller i hela EU/EES-området och myndigheter, organisationer samt företag måste följa bestämmelserna. Integritetsskyddsmyndigheten, som är den svenska dataskyddsmyndigheten, har befogenhet att utfärda sanktionsavgifter till företag som inte följer GDPR och summan kan uppgå till 20 miljoner euro eller 4% av årsomsättningen (det högsta av alternativen). Däremot är det möjligt att överklaga beslutet och låta en domstol avgöra målet. GDPR gäller för både småföretagare och större företag.
Visma, som är ett stort företag inom bland annat bokföring, gör ibland olika undersökningar. En undersökning som de gjorde angående småföretag och GDPR, visade att ungefär 1/4 av småföretagare inte har god kännedom om GDPR och vad dess bestämmelser innebär för deras företag. Sedan GDPR trädde i kraft 25 maj 2018 har ungefär 50% av småföretagarna inte vidtagit några konkreta åtgärder.
Tips på hur du kan börja få koll på GDPR inom din verksamhet
Skapa en överblick
Analysera och kartlägg de personuppgifter som företaget hanterar. Det är allt ifrån namn, personnummer, sjukfrånvaro (känslig personuppgift, här kan du läsa mer om detta), kundregister m.m. I mejlen finns ofta personuppgifter som man inte tänker på och det är viktigt att regelbundet radera de personuppgifter som inte längre är nödvändiga.
I vilket syfte lagrar ni personuppgifterna?
För att få behandla och lagra personuppgifter, måste företaget ha rättslig grund. Dessutom måste företaget beakta de sju grundläggande dataskyddsprinciperna. Personuppgifterna ska bli gallrade (raderade) när de inte längre är nödvändiga för det syfte de blev insamlade för. Ju känsligare personuppgifter man lagrar, desto högre säkerhet måste man ha.
Nödvändiga avtal och dokument
Ett företag som behandlar personuppgifter behöver följa GDPR och måste även kunna styrka det. Det kan ske genom att upprätta olika typer av skriftliga dokument och interna rutiner samt att se till att de anställda i företaget följer dessa. Exempelvis bör företag upprätta en rutin för personuppgiftsincidenter och bestämma hur en incident ska bli hanterad om det inträffar. En intern rutin bör även bli skapad för att loggföra gallringar av icke nödvändiga personuppgifter och hur gallringen ska gå till för att ske i enlighet med GDPR. Det finns flera olika rutiner som företag kan skapa, för att styrka att man följer GDPR.
Utöver rutiner, måste företag även ha en dataskyddspolicy och ingå ett personuppgiftsbiträdesavtal med alla leverantörer som företaget delar personuppgifter till. Exempelvis redovisningskonsult, ekonomisystem, CRM-system, hosting-leverantör, molnlagring m.fl.
Dessa är avtal och dokument som Datainspektionen kan komma att efterfråga vid en eventuell kontroll, för att säkerställa att företaget följer GDPR.
Vanligt fel många företag gör
Företag har ofta en hemsida som innehåller ett kontaktformulär. Det många inte tänker på, är att företaget tar emot personuppgifter när någon skickar ett meddelande via formuläret. Exempelvis namn, e-postadress och eventuellt telefonnummer. I sådana fall är det viktigt att lämna den information som är nödvändig enligt GDPR, innan avsändaren skickar meddelandet. Informationen måste bli lämnad i direkt anslutning till formuläret och innan meddelandet blir skickat. Dessutom måste avsändaren samtycka till att företaget behandlar personuppgifterna. Vanligtvis sker det genom att kontaktformuläret innehåller en ruta, som avsändaren aktivt måste bocka i för att lämna sitt samtycke. Observera att det inte inte tillåtet att ha en förikryssad ruta om samtycke.
Läs mer om GDPR
GDPR är omfattande och kan vara svår att begripa direkt. Det kräver ofta att man lägger ner tid för att lära sig grunderna och det som är relevant för sin verksamhet. Här på vår hemsida finns det mycket information som är relevant för företag, både små och stora. Har du några frågor eller funderingar är du välkommen att kontakta oss via telefon 08-81 66 33 eller e-post: kontakt@digitalajuristerna.se.
