SAMMANFATTNING AV GDPR

Här kan du läsa en sammanfattning av viktiga delar inom GDPR för företag och företagare.

sammanfattning av viktiga delar inom GDPR för företag och företagare avtalsgdpr

GDPR är ett viktigt område för företag att följa och det finns en del saker att tänka på. Därför har vi skrivit denna sammanfattning av viktiga delar inom GDPR för företag och företagare. Dessutom kan du fördjupa dig inom vissa områden genom att läsa mer information som finns på denna webbplats. Exempelvis har vi publicerat olika QUIZ som du kan göra, för att testa dina kunskaper inom ämnet. Utöver detta, har vi också skrivit inlägg och gratis guider som du kan få ta del av. 

Vi skriver och granskar avtal till fasta priser.
Vi riktar oss främst till startups, små och medelstora företag.
All kontakt sker smidigt på distans, via dator och telefon.

Sammanfattning av centrala delar inom GDPR för företag och företagare 

Vilka måste följa GDPR?

GDPR, även kallad för dataskyddsförordningen, gäller i Sverige samt EU/EES-länderna. Den trädde i kraft den 25 maj 2018. Många undrar vilka som måste följa GDPR. Företag, offentliga organ såsom myndigheter och organisationer måste följa GDPR vid all behandling av personuppgifter. Exempel på personuppgifter är namn, telefonnummer, profilbild och annat som kan bli kopplat till en individ. Det finns ett flertal saker att tänka på och göra, för att följa GDPR. Exempelvis att ha rätt avtal/dokument, följa dataskyddsprinciperna, ha rättslig grund vid behandling av personuppgifter och skydda personuppgifter. 

Konsekvens av att bryta mot GDPR 

Om företag, myndigheter eller organisationer bryter mot GDPR, kan konsekvensen bli sanktionsavgifter. För företag kan beloppet uppgå till 20 miljoner euro eller 4 % av årsomsättningen om brottet mot GDPR är grovt. Däremot kan sanktionsavgiften vid mindre allvarliga brott också bli hög: högst 10 miljoner euro eller 2 % av årsomsättningen. Beloppet beror på bland annat på hur stort företaget är och hur företaget har brutit mot GDPR. Däremot är maxbeloppet på sanktionsavgifter betydligt lägre för myndigheter, varav det högsta möjliga beloppet är 10 miljoner kronor.  I vissa fall kan IMY även utfärda reprimand.

Här kan du läsa mer om konsekvenser av att bryta mot GDPR.

Tillsynsmyndighet för ärenden om GDPR

Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet för ärenden inom GDPR. Dessutom kan myndigheten utfärda sanktionsavgifter till företag, myndigheter eller organsationen som inte följer regelverket. Tidigare hette myndigheten ”Datainspektionen”. De arbetar också med tillstånd avseende kameraövervakning. Dit kan personer vända sig om de har klagomål gällande hur deras personuppgifter blir behandlade. I vissa fall kan det även vara aktuellt att kontakta Polisen. Myndigheten publicerar även vägledningar och annat som kan vara bra att tänka på som företag eller privatperson gällande GDPR. 

Nyheter om GDPR och granskningar från tillsyndmyndigheten

Utöver denna sammanfattning av centrala delar inom GDPR för företag och företagare, kan du även läsa om olika nyheter om GDPR på denna webbplats. Exempelvis granskningar utförda av Integritetsskyddsmyndigheten samt sanktionsavgifter som de delar ut. Genom att lära sig av misstag från andra, går det att undvika att begå liknande misstag själv. Dessutom kan du hitta information som är viktig och bra att känna till som företagare samt vägledningar. 

Vilka som är ansvariga enligt GDPR

Personuppgiftsansvarig (PUA) enligt GDPR

Enligt GDPR kan en aktör som behandlar personuppgifter agera i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Det är den som bestämmer ändamålet med behandlingen av personuppgifterna och hur behandlingen ska gå till. Exempelvis kan den personuppgiftsansvariga vara ett företag, en organisation eller en myndighet. Det är alltså normalt inte en fysisk person som är den personuppgiftsansvarige, exempelvis en chef eller anställd på ett företag. Detta gäller dock enbart såvida det inte är ägaren av en enskild firma som behandlar personuppgifterna. I sådana fall är det ägaren av den enskilda firman som är den personuppgiftsansvarige.

Den som är personuppgiftsansvarig ansvarar för den behandling av personuppgifter som utförs av den personuppgiftsansvarige eller för dennes räkning.

Personuppgiftsbiträde (PUB) enligt GDPR

Den som är personuppgiftsansvarig, kan i vissa fall anlita ett så kallat personuppgiftsbiträde för att biträdet ska behandla personuppgifter som den ansvarige ansvarar för, för den ansvariges räkning. I sådana fall får personuppgiftsbiträdet enbart behandla personuppgifterna i enlighet med den personuppgiftsansvariges instruktioner, för de ändamål som den ansvarige bestämmer och på det sätt som den ansvarige tillåter.

Exempelvis är det vanligt att företag anlitar en redovisningskonsult för att sköta företagets bokföring. På vissa fakturor, kan det förekomma personuppgifter, som företaget är personuppgiftsansvarig över. Om redovisningskonsulten får tillgång till personuppgifter som företaget är ansvarig över, måste parterna ingå ett så kallat personuppgiftsbiträdesavtal innan personuppgifterna blir delade.

personuppgiftsansvarig personuppgiftsbiträde GDPR avtalgdpr

Vad är personuppgifter och personuppgiftsincidenter

Personuppgifter enligt GDPR

Alla uppgifter som direkt eller indirekt kan knytas till en fysisk levande person, är personuppgifter enligt GDPR. Exempel på vanliga personuppgifter är namn, profilbild, telefonnummer, personnummer, adress, registreringsnummer till fordon, IP-adress, användar-ID m.m.

Exempel på vad som utgör personuppgiftsincidenter

Om en säkerhetsincident kan innebära en risk för människors rättigheter och friheter, är det en personuppgiftsincident enligt GDPR. Den vanligaste personuppgiftsincidenten de två första åren sedan GDPR började gälla, var felskickade mejl. En bra utgångspunkt för att undvika sådan incident, är att alltid kontrollera att mottagaren av meddelandet är korrekt. När ett företag upptäcker en personuppgiftsincident, ska det bli anmält till IMY inom 72 timmar från att det blev upptäckt, när det krävs enligt GDPR. Dessutom måste företaget i vissa fall vidta åtgärder och kontakta personer som är omfattade av incidenten.

Känsliga och integritetskänsliga personuppgifter enligt GDPR

GDPR skiljer på personuppgifter som är känsliga och integritetskänsliga. Integritetskänsliga personuppgifter går att dela in i fyra kategorier, varav den första är känsliga personuppgifter. Exempelvis är det personuppgifter som kan avslöja information om en fysisk persons religösa tro, etniskt ursprung eller uppgifter om hälsa. Dessutom är personnummer integritetskänsliga, men inte känsliga personuppgifter. Ett företag bör tänka på att lönespecifikationer ofta innehåller känsliga personuppgifter såsom sjukfrånvaro (uppgift om hälsa). Därför ska företaget inte skicka lönespecifikationer via okrypterat mejl. 

Anonymiserade personuppgifter enligt GDPR

Anonymiserade personuppgifter är sådana uppgifter som inte längre går att använda för att identifiera en person. Enligt GDPR, måste personuppgifter vara läsbara för att vara omfattade av reglerna. Men eftersom anonymiserade personuppgifter inte går att använda för att identifiera någon fysisk person, är de inte omfattade av GDPR. Vid sådana fall är det inte längre personuppgifter, utan enbart uppgifter. 

Sammanfattning av centrala delar av GDPR för företag och viktiga saker att tänka på enligt GDPR för den som driver företag

Avtal och dokument som företag behöver ha enligt GDPR

Förutom det som framgår ovan i denna sammanfattning av GDPR för företag och företagare, behöver företag som behandlar personuppgifter ha vissa avtal och dokument. Dessa är nödvändiga för att följa bestämmelserna i GDPR och för att kunna styrka att företaget följer GDPR i praktiken.

Företag behöver bland annat ha en dataskyddspolicy (även kallad integritetspolicy), interna rutiner, registerförteckning, loggböcker och i vissa fall ett personuppgiftsbiträdesavtal.

Avtalen och dokumenten ska vara skriftliga och samtliga medarbetare ska följa dem. I vårt GDPR-paket, som kostar 15 000 kr exkl. moms, ingår en dataskyddspolicy, tre stycken interna rutiner, två loggböcker, registerförteckning och ett personuppgiftsbiträdesavtal. 

Dessutom måste företaget följa de andra delarna av GDPR. Exempelvis att anmäla en personuppgiftsincident inom 72 timmar från att det har blivit upptäckt när GDPR kräver det.

Sammanfattning av de rättsliga grunderna som företag kan välja mellan enligt GDPR

För att ett företag ska få behandla personuppgifter lagligt, måste det vara rättsligt grundat. Två vanliga rättsliga grunder är genom Avtal och Samtycke. Dessutom är Intresseavvägning, Rättslig förpliktelse, Myndighetsutövning och Grundläggande intresse några andra rättsliga grunder som företag kan använda. Utöver detta ska företaget radera personuppgifterna direkt när de inte längre behövs för syftet de blev insamlade för. 

Ett praktiskt exempel på användning av den rättsliga grunden Avtal är om en person ska bli registrerad användare av en mobilapplikation. I samband med registreringen, accepterar användaren de allmänna villkoren. För att företaget ska kunna skapa användarkontot, behöver företaget behandla de uppgifter som användaren lämnar, inklusive eventuella personuppgifter. Detta sker för att företaget ska kunna leverera tjänsten till användaren i enlighet med avtalet. Den rättsliga grunden för behandlingen av personuppgifterna, i samband med registrering av användarkontot, är därmed Avtal. De sex stycken olika rättsliga grunderna beskrivs inte närmare i denna sammanfattning av GDPR för företag, men finns att läsa under fliken ”Rättsliga grunder”.

Lagringsminimering och gallring enligt GDPR

Enligt principen om lagringsminimering, ska personuppgifter bli raderade när de inte länge är nödvändiga för det syfte de blev inhämtade för. I artikel 5 i GDPR, framgår principen om lagringsminimering och enligt huvudregeln om gallring, ska företag radera personuppgifterna direkt när de inte är nödvändiga längre. Exempelvis genom att radera mejl regelbundet eller på bestämda dagar. För att göra det smidigt och inte glömma bort, bör man ha rutiner som alla medarbetare tar del av och det kan vara bra att sätta datum där det ska ske. Däremot måste företag i vissa fall spara uppgifter under en längre period på grund av någon annan lagstiftning, såsom bokföringslagen, vilket går före GDPR vid sådant fall. 

Sammanfattning av dataskyddsprinciperna som företag ska känna till enligt GDPR

I GDPR finns det sju stycken grundläggande dataskyddsprinciper som företag måste följa. Dataskyddsprinciperna är följande: laglighet, korrekthet & öppenhet, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet & konfidentialitet, samt ansvarsskyldighet. 

Det första ett företag bör göra, innan insamling av personuppgifter, är att bestämma ändamålet med behandlingen eftersom det är ett krav enligt GDPR. En beskrivning av de olika dataskyddsprinciperna enligt GDPR finns att läsa under fliken ”Dataskyddsprinciperna” på denna webbplats, och inte i denna sammanfattning av GDPR för företag.

GDPR avtal till företag och verksamheter avtalgdpr

99 artiklar i GDPR & beaktandesatser

Det finns 99 Artiklar och 173 skäl i GDPR, detta är enbart en kort sammanfattning av vad GDPR innebär för företag och företagare

GDPR består av totalt 99 artiklar och 173 skäl (även så kallade ”beaktandesatser”). Där finns det bestämmelser om vilka rättigheter som registrerade har samt sådana bestämmelser som reglerar behandlingen av personuppgifter. Den som vill fördjupa sig inom GDPR, bör därmed läsa hela dataskyddsförordningen och skälen. 

Lagra personuppgifter utanför EU

För företag som lagrar personuppgifter utanför EU/EES-länderna, finns det flera saker att tänka på eftersom reglerna är strikta. Däremot är det tillåtet, under vissa förutsättningar. När personuppgifter blir överförda till ett land utanför EU/EES-länderna, är länderna kallade för tredje land. Ett vanligt tillfälle där personuppgifter blir överförda till ett tredje land, är vid mejlkommunikation med exempelvis ett företag som befinner sig i USA. Om mejlet innehåller personuppgifter, gäller GDPR. Däremot är det inte längre tillåtet att överföra personuppgifter till USA med stöd i Privacy Shield. Istället gäller eventuellt SCC, standardavtalsklausuler.

Konsekvensbedömning vid hantering av personuppgifter

Företag måste göra en konsekvensbedömning när de ska hantera personuppgifter. I vissa fall måste företaget till och med samråda med IMY innan. Detta gäller om lagringen exempelvis innebär stora integritetsrisker. En konsekvensbedömning innebär kort sagt att man bland annat analyserar tänkbara konsekvenser, hur företaget ska åtgärda kriser, vilka skyddsåtgärder företaget ska vidta m.m. 

Viktigt att tänka på för den som driver digitala plattformar med unga användare 

Det finns flera saker att tänka på för företag som tillhandahåller digitala plattformar med unga eller omyndiga användare. Det är viktigt att ha barnets bästa i fokus. Dessutom har barn ett särskilt skydd enligt GDPR. Det är också förbjudet att göra direktmarknadsföring till personer under 16 år. Detta är bra att tänka på, eftersom det är ett vanligt sätt att marknadsföra företag. I Sverige är det tillåtet att lagra personuppgifter som tillhör personer över 13 år, om företaget har fått samtycke samt följer de andra reglerna som gäller för behandling av personuppgifter av unga. 

Nedan kan du läsa vår vägledning och guide för företag som tillverkar och tillhandahåller digitala plattformar för unga användare. 

barn ungdom personuppgifter GDPR avtalgdpr

Sammanfattning av centrala delar inom GDPR för företag

Denna sammanfattning av GDPR för företag innehåller de centrala delarna av GDPR som vi tycker är viktiga för företag och företagare att känna till. Den som vill lära sig mer om GDPR kan även läsa hela dataskyddsförordningen (GDPR) i sin helhet.

Vi har även publicerat en sammanställning av nyheter, vanliga frågor och guider om GDPR som du kan läsa, för att få mer information om det som finns publicerat på denna webbplats.

Vi skriver och granskar avtal

08-81 66 33

Gratis juridikskolor

Vi driver olika gratis juridikskolor på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du  testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

GDPR utbildning kunskap anställda avtalgdpr
MER INFORMATION
om dataskyddspolicy för företag eller verksamhet