• Avtal till företag & företagare
  • Fasta priser inkl. genomgång med jurist
  • GDPR-avtal & dokument
  • Gratis inledande samtal med jurist

GDPR för dig som är eller anlitar webbutvecklare

GDPR för dig som är eller anlitar webbutvecklare
  • Start
  • Online
  • GDPR för dig som är eller anlitar webbutvecklare

Det är viktigt att webbutvecklare känner till bestämmelserna i GDPR, för att behandlingen av personuppgifter via webbplatsen ska vara laglig.

Vanliga personuppgifter är exempelvis namn, personnummer, adress, telefonnummer, IP-adress, kreditkortsuppgifter, bankkontouppgifter m.m.

Många olika typer av personuppgifter blir lagrade genom tjänster online. Exempelvis kan det ske när man köper något från en webbshop och skriver in sitt namn och kortuppgifter. Då kan webbshoppen eller ett personuppgiftsbiträde till webbshoppen lagra personuppgifterna online, i olika servrar, program m.m.

Följ GDPR vid anlitande av webbutvecklare

För dig som anlitar webbutvecklare, är det viktigt att följa GDPR. Konsekvenserna vid brott mot GDPR kan annars kan bli miljonböter. Exempelvis behöver du ingå ett personuppgiftsbiträdesavtal med den webbutvecklare du anlitar, om denne kommer att få ta del av personuppgifter som ditt företag är personuppgiftsansvarig för.

Nedan kan du läsa om några saker som påverkar dig som är eller anlitar webbutvecklare eller programmerare.

Säker lagringsplats enligt GDPR

Den plats där lagring av personuppgifter sker ska vara säker och säkerheten ska vara ändamålsenlig, med hänsyn till typen av personuppgifter som blir lagrade. Ju högre säkerhet som måste föreligga, desto mer utveckling kan komma att vara nödvändig. Dessutom finns det andra krav enligt GDPR, såsom att kunder måste samtycka till olika saker för att en behandling av personuppgifterna ska vara laglig. Den registrerade personen har också rätt att ta bort eventuellt användarkonto och begära radering av sina personuppgifter m.m.

Idag är det vanligt med plattformar där användarna skapar egna användarkonton, exempelvis mobilapplikationer och webbapplikationer. Det är i sådana fall viktigt att informera användarna om hur behandlingen av deras personuppgifter går till, syftet med behandlingen, vilka rättigheter de har m.m. De ska även bli informerade om att de alltid har rätt att kontakta Datainspektionen, om de har några klagomål avseende företagets behandling av personuppgifterna. Denna information måste finnas tillgänglig att läsa via webbplatsen, och kan formuleras i en så kallad Dataskyddspolicy. En Dataskyddspolicy är även kallad för ”sekretesspolicy”, ”integritetspolicy”, ”personuppgiftspolicy”, ”Privacypolicy” m.fl.

Det är viktigt att webbutvecklare följer GDPR. Kom ihåg att inte lagra fler personuppgifter än nödvändigt och att uppgifterna enbart får bli använda till det syfte de blev inhämtade för. Därefter ska personuppgifterna bli gallrade (raderade). Den personuppgiftsansvarige måste även kunna bevisa att sådan gallring har skett, och därför bör varje sådant tillfälle bli antecknat i en intern loggbok.

Underleverantörer och underbiträden

Många företag använder externa tjänster som lagrar olika typer personuppgifter för företagets räkning.

Hur lagringen av personuppgifterna sker måste uppfylla vissa säkerhetskrav och företaget behöver även ingå personuppgiftsbiträdesavtal med alla eventuella underbiträden som företaget delar personuppgifter med. Det kan vara e-postleverantör, redovisningskonsult, hosting-leverantör, molnlagring, affärssystem, CRM-system och många fler.

Det är viktigt att hålla koll på säkerheten hos sådana underbiträden. Om du exempelvis har en hemsida hos ett webbhotell, är det viktigt att känna till vart de lagrar personuppgifterna (deras servrar). Om de gör det i ett land utanför EU/EES-området, måste du säkerställa att de följer reglerna i GDPR och att ni ingår ett skriftligt personuppgiftsbiträdesavtal. För lagring av personuppgifter utanför EU/EES-området finns speciella krav. Här kan du läsa mer om vad som gäller om du ska lagra personuppgifter utanför EU /EES.

GDPR avtal och dokument

Förutom att företag behöver anpassa sitt arbete och sina webbapplikationer, alternativt appar eller andra system, måste även företag ha nödvändiga GDPR-dokument. Exempelvis Personuppgiftsbiträdesavtal, Dataskyddspolicy, Registerförteckning, Loggböcker och Interna rutiner.

Incidenter och konsekvenser – risker och analyser

Förutom att företag ska analysera hur en eventuell dataincident skulle kunna inträffa, ska företag även ha rutiner för vad som ska ske om det väl inträffar. Dessutom bör en rutin bli upprättad som anger hur man kan mildra konsekvenserna vid eventuella personuppgiftsincidenter.

Enligt GDPR ska vissa personuppgiftsincidenter även bli anmälda till Integritetsskyddsmyndigheten inom 72 timmar från att incidenten blivit upptäckt. I vissa fall måste anmälan även ske till Polisen och till de registrerade som blir påverkade av incidenten.

Behandlar du känsliga personuppgifter, kräver GDPR ännu högre säkerhet. Exempel på känsliga personuppgifter är uppgifter om en anställd persons sjukfrånvaro. Att skicka en lönespecifikation via ett okrypterat mejl, anses inte uppfylla säkerhetskraven enligt GDPR, eftersom de ofta innehåller uppgifter om hälsa. Uppgifter om hälsa är enligt GDPR en känslig personuppgift. Detta gäller även uppgifter om etniskt ursprung, religiös övertygelse, politiska åsikter m.m.

Välkommen!

Här kan du lära dig mer om vanliga juridiska begrepp och få svar på frågor inom både affärsjuridik och avtalsrätt. Vi skriver även olika smarta guider, olika tips samt information om viktiga nyheter.

Kategorier

Sök på sidan

Utforska vidare

Fler intressanta artiklar

Nya regler för kamerabevakning gäller från och med 1 april 2025
Behandling
Nya regler för kamerabevakning gäller från och med 1 april 2025
Gdpravtal1
Gdpravtal1
maj 5, 2025
En personuppgiftsincident är en säkerhetsincident
Behandling
Information som ska framgå till registrerade vid incidenter 
Digitala Juristerna
Digitala Juristerna
augusti 3, 2024
Informationssäkerhet tekniska organisatoriska säkerhetsåtgärder minimerar personuppgiftsincidenter
Behandling
Rekommendationer om hur företag kan förebygga incidenter 
Digitala Juristerna
Digitala Juristerna
augusti 3, 2024
Rapportering efter personuppgiftsincidenter hos ett biträde  enligt GDPR digitala juristerna
Behandling
Mänskliga faktorn var den vanligaste orsaken till incidenter 
Digitala Juristerna
Digitala Juristerna
augusti 3, 2024
Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder
Behandling
Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder 
Digitala Juristerna
Digitala Juristerna
oktober 28, 2022

Digitala

Juristerna

Linkedin Instagram
Vi arbetar på distans och håller möten på det sätt som passar dig bäst, via telefon eller videomöte

Kontakta oss

  • 08-81 66 33
Mån-Sön: kl 09:00-20:00.

DigiJuris Sverige AB
Sveavägen 124, 113 50 Stockholm
kontakt@digitalajuristerna.se
Org. nr: 559434-7378

ekonomi@digitalajuristerna.se
Bankgiro: 161-4262
VAT.nr: SE559434737801
Godkänd för F-skatt

Grunderna

Åtgärder

Lär dig mer

Nyheter

Sök på sidan

Rulla till toppen
Call Now Button