På denna hemsida finns grundläggande information om GDPR för företag. Dessutom kan du läsa om nyheter, vägledningar och annan information om GDPR, som kan vara viktigt för dig som företagare att känna till. Som företagare kan det vara viktigt att känna till grundläggande information om GDPR för att behandla personuppgifter korrekt inom verksamheten.
Företag som behandlar personuppgifter måste följa GDPR och det finns flera saker att tänka på. Kort sagt handlar GDPR om hur företag, myndigheter och organisationer behandlar personuppgifter och säkerheten kring behandlingen. Det gäller både personuppgifter om anställda och om kunder/användare/besökare m.fl.
Exempel på personuppgifter är namn, personnummer, e-postadress eller annan information som kan bli kopplad till en fysisk levande person. Uppgifter tillhörande ett aktiebolag eller annan juridisk person, utgör inte personuppgifter.
Företaget i sig är normalt den personuppgiftsansvarige och i vissa fall kan företag anlita ett eller flera personuppgiftsbiträden. Som företagare är det därför viktigt att känna till grundläggande information om GDPR för företag, eftersom bestämmelserna måste bli beaktade. Om inte, kan det innebära stora konsekvenser. På denna hemsida har vi samlat information som kan vara bra för dig som företagare att känna till om GDPR.
Grundläggande information om GDPR för företag
Här är grundläggande information om GDPR för företag, några viktiga saker att tänka på och vanliga fel som vissa företag gör:
Okrypterade mejl och GDPR
– Att skicka lönespecifikation via okrypterad mejl anses inte uppfylla säkerhetskraven, om lönespecifikationerna innehåller känsliga uppgifter. Exempelvis är känsliga personuppgifter information om den anställde personens hälsa, såsom sjukfrånvaro.
Kontaktformulär och GDPR
– Om ett företag har ett kontaktformulär på sin hemsida, måste företaget informera besökaren om hur behandlingen och lagringen av personuppgifterna som denne skickar in kommer att ske. Informationen ska bli lämnad i direkt anslutning till formuläret, innan meddelandet blir skickat till företaget. Dessutom måste avsändaren aktivt bocka i en ruta och samtycka till behandlingen ifråga.
Nyhetsbrev och GDPR
– För att skicka ut nyhetsbrev måste man ha en rättslig grund för behandlingen, exempelvis samtycke från personen som ska ta emot nyhetsbrevet. Samtycket måste vara lämnat aktivt och det räcker alltså inte med att skriva in det i användarvillkoren. Ett sätt att göra det på är att ha en kryssruta, som inte är redan markerad, eftersom det är personen som ska kryssa i den i samband med att denne accepterar att ta emot nyhetsbrev.
Bilder och GDPR
– Bilder på personer är också personuppgifter, om bilden han härleda till en fysisk levande person. IP-adresser kan också vara personuppgifter, om det går att identifiera en fysisk person genom adressen. Organisationsnummer på ett aktiebolag är däremot inte en person uppgift, men organisationsnumret till en enskild firma är det, eftersom det är ett personnummer.
Videosamtal och GDPR
– Personuppgifter vid videosamtal. Många företag arbetar idag digitalt, via dator och telefon. Om du driver exempelvis ett företag som har videomöten med kunder och ni behandlar känsliga personuppgifter, finns särskilda regler enligt GDPR. Exempelvis sker sådan behandling via en app för psykologer eller läkare som behandlar personuppgifter om hälsa. Behandling av känsliga personuppgifter kräver enligt GDPR högre säkerhet än vid behandlingen av andra personuppgifter, såsom namn och personnummer. Här kan du läsa mer om känsliga personuppgifter vid videosamtal.
GDPR avtal och dokument
– Företag måste också ha nödvändiga GDPR avtal och dokument. Bland annat behöver företag ha ett personuppgiftsbiträdesavtal med samtliga biträden, dataskyddspolicy, registerförteckning, interna rutiner och loggböcker.
Brott mot GDPR
Konsekvensen för företag som bryter mot GDPR varierar beroende på bland annat hur allvarlig överträdelsen är och hur stort företaget är. För allvarliga överträdelser kan sanktionsavgiften uppgå till 20 miljoner Euro eller 4 % av den totala årsomsättningen. För mindre allvarliga, kan sanktionsavgiften uppgå till 10 miljoner Euro eller 2 % av den totala årsomsättningen.
Integritetsskyddsmyndigheten (den svenska tillsynsmyndigheten) och andra motsvarande myndigheter i EU, har tilldelat ett flertal företag sanktionsavgifter. I vissa fall har sanktionsavgiften varit många miljoner kronor. Ett företag fick en sanktionsavgift över 180 miljoner pund för bland annat bristfälliga säkerhetsåtgärder.
