Fråga: Hej, vilka företag måste följa GDPR? Jag ska starta ett företag där vi kommer att ta emot ordrar från kunder, som vi därefter skickar vidare till företagen som kommer utföra arbetet. Efter att vi tagit emot uppgifterna kommer vi att radera dem, eftersom vi inte behöver de längre. Jag undrar vilka företag som måste följa GDPR och om mitt företag också behöver göra det?
Vilka företag måste följa GDPR?
Svar: Hejsan, tack för din fråga. Det är många som undrar vilka företag som måste följa GDPR, och svaret är att alla företag som behandlar personuppgifter måste följa GDPR.
Alla företag, myndigheter (offentliga organ) och organisationer som behandlar personuppgifter måste följa GDPR, som började gälla i maj 2018. GDPR heter dataskyddsförordningen och gäller i hela EU samt EES-länderna. I Sverige ersatte GDPR personuppgiftslagen (PUL) som tidigare gällde vid behandling av personuppgifter. Syftet med GDPR är att stärka rättigheterna för enskilda när det gäller behandling av deras personuppgifter.
I och med att ni kommer att ta emot personuppgifter i samband med att kunderna skickar en order till er, gäller GDPR för er också. Detta gäller oavsett om ni raderar personuppgifterna direkt efter, eller om ni lagrar dem under längre tid. Som du nämnde, behöver ni inte personuppgifterna under längre tid och enligt GDPR ska personuppgifter bli raderade så fort de inte längre är nödvändiga för det syfte de blev inhämtade för.
Krav för att behandla personuppgifter
För att få behandla personuppgifter måste företag ha en rättslig grund. Dessutom måste man följa dataskyddsprinciperna. Två vanliga rättsliga grunder är Samtycke och Avtal. Det är viktigt att informera personer om hur företaget behandlar personuppgifterna innan det sker. Exempelvis om ett företag har ett kontaktformulär på en hemsida där personer kan ställa frågor genom att skriva in sin e-post och sitt namn vilket är personuppgifter, ska det stå hur företaget behandlar personuppgifterna. Vid sådana fall är det bäst att publicera en Dataskyddspolicy på webbplatsen.
Ett företag behöver kunna bevisa att de följer GDPR. Vi arbetar med att skriva och granska avtal till företag och företagare. Företag behöver bland annat ha en integritetspolicy, även kallad för dataskyddspolicy och i vissa fall ett personuppgiftsbiträdesavtal. Dessutom är det bra att ha interna rutiner, loggbok och registerförteckning eftersom det är ett sätt att visa att man följer GDPR.
