Här är några övergripande regler vid behandling av personuppgifter som företag måste tänka på och följa enligt GDPR. Alla företag, myndigheter och organisationer som behandlar personuppgifter måste följa GDPR, även kallad dataskyddsförordningen. I vissa fall gäller regelverket även för privatpersoner som behandlar personuppgifter. Exempelvis om de har en kamera på sin ytterdörr som även filmar en allmän plats. GDPR ställer högre krav på företag än personuppgiftslagen som tidigare gällde i Sverige, men som blev ersatt av GDPR. Det är en EU-förordning, vilket går att likställa med en nationell lagstiftning. Det är skillnad mellan EU-förordning och EU-direktiv. Däremot finns det andra lagar i Sverige som står över GDPR om lagarna är ”motsägelsefulla”.
Här är några övergripande regler vid behandling av personuppgifter
- Företaget agerar ofta som personuppgiftsansvarig och i vissa fall som ett personuppgiftsbiträde. Dessutom finns det företag som behöver ha ett dataskyddsombud och denne måste bli registrerad hos IMY.
- Behandlingen måste vara laglig. Det innebär att företaget ska ha en rättslig grund för varje enskild behandling och det finns totalt sex rättslig grunder som står i GDPR. Dessa är avtal, samtycke, rättslig förpliktelse, intresseavvägning, myndighetsutövning och uppgift av allmänt intresse samt grundläggande intresse.
- Företaget måste uppge vilket ändamål som personuppgifterna blir inhämtade för och de måste vara specifika. Därefter måste företaget också radera personuppgifterna när de inte längre är nödvändiga för syftet de hämtades in för, vilket även framgår av principen om lagringsminimering.
- Det finns 7 dataskyddsprinciper som företag måste följa. Exempelvis principen om uppgiftsminimering. Den innebär att företaget inte ska behandla fler personuppgifter än nödvändigt. Dessutom är det viktigt att företaget följer principerna och de andra delarna av GDPR som företaget omfattas av.
- Företag behöver ha vissa avtal och dokument för att följa GDPR och styrka att så sker. Dataskyddspolicy som även är kallad för integritetspolicy, interna rutiner, registerförteckning och loggböcker. Vissa företag behöver även ha ett personuppgiftsbiträdesavtal. Dessutom behöver vissa företag ha sekretessavtal med anställda, flera integritetspolicys och rutiner m.m.
- Om ett företag behandlar känsliga personuppgifter eller om behandlingen medför en stor risk för integriteten hos den enskilda individen vars personuppgifter blir behandlade, måste företaget göra en konsekvensbedömning. Dessutom kan företaget behöva samråda med IMY vid vissa fall innan behandlingen.