Viktigt att tänka på gällande GDPR

Det finns mycket som är viktigt att tänka på gällande GDPR. GDPR står för General Data Protection Regulation och är EU:s dataskyddsförordning som gäller inom hela EU för samtliga medlemsländer. Alla svenska företag, organisationer och offentliga organ måste därför följa GDPR vid all sin behandling av personuppgifter.


Grundprincip inom GDPR

Ju känsligare personuppgifterna som bli hanterade är, desto högre säkerhet kräver behandlingen av personuppgifterna.

En personuppgift är allt sådant som kan bli hänfört till en levande fysisk person. Exempelvis är personnummer, namn, e-postadress, telefonnummer och bilder vanliga personuppgifter.


De 4 vanligaste rättsliga grunderna

All behandling av personuppgifter måste enligt GDPR ha stöd i en så kallad rättslig grund, för att vara laglig. Nedan följer en beskrivning av de fyra (4) vanligaste rättsliga grunderna. Totalt finns det sex (6) stycken rättsliga grunder.


Samtycke

Den registrerade personen, vars personuppgifter blir behandlade, kan lämna sitt samtycke (dvs. godkännande) till behandlingen. För att ett samtycke ska vara giltigt, måste personen ifråga få information om syftet och ändamålet med behandlingen, samt en beskrivning om hur personuppgifterna kommer att bli använda och vilka rättigheter personen har. Exempelvis har en person alltid rätt att återkalla ett lämnat samtycke, och då ska behandlingen av personuppgifterna upphöra. Samtycke är dock inte att rekommendera som rättslig grund, om det finns någon annan starkare rättslig grund som kan bli använd istället.


Avtal

Om ett företag har ingått ett avtal med en person, kan det utgöra grund för behandling av personuppgifter. Detta gäller om personuppgifterna behöver bli behandlade inom ramen för avtalet och/eller för att fullgöra avtalsenliga förpliktelser. Denna rättsliga grund är starkare än exempelvis samtycke. Genom ett avtal förutsätts det att personen ifråga förstår att personuppgifterna behöver bli behandlade av företaget för att fullgöra avtalet. Exempelvis kan personuppgifterna tillhörande en kund bli använda för korrekt fakturering eller med leverans av produkter osv.


Intresseavvägning

Denna rättsliga grund innebär att ett företag kan behandla en redan insamlad personuppgift för ett nytt eller annat ändamål, än för vilket personuppgifterna i första hand blev insamlade för. Här gäller det att företagen gör en intresseavvägning, genom att ställa sina intressen av behandlingen mot privatpersonens integritet. Exempelvis kan ett företag använda en tidigare kunds e-postadress för att marknadsföra nya produkter, om företaget gör bedömningen att kunden kan ha nytta eller intresse av det. Denna typen av direktmarknadsföring som grundar sig på intresseavvägning ska dock genast upphöra, om personen ifråga inte vill bli kontaktad.


Rättslig förpliktelse

Denna rättsliga grund innebär att företag måste behandla personuppgifter på grund av en rättslig förpliktelse. Exempelvis på grund av en viss lag, ett myndighetsbeslut eller liknande. Alla företag måste följa bokföringslagen, och enligt lagen måste bokföringsunderlag bli sparat i ett visst antal år. Därför får företag spara personuppgifter som framkommer i sådant underlag under minst så lång tid som lagen kräver, eftersom företaget har en rättslig förpliktelse att göra det.

Vill du lära dig mer om GDPR?

På hemsidan www.avtalgdpr.se finns det information om GDPR, vilka avtal och dokument företag behöver och vad företag behöver tänka på m.m. GDPR är en relativt ny lag och väldigt omfattande. Dessutom kommer det nya fall hela tiden och vägledningar, både på EU-nivå samt nationell nivå i Sverige. Det kan vara bra att hålla sig uppdaterad och känna till vad man som företag behöver göra för att följa GDPR.

 

Skribent: Företagsforumet.

Läs fler inlägg om ekonomi

Forumet kan du som medlem ställa frågor, kommentera och diskutera företagande med andra medlemmar. Forumet är en digital plattform där medlemmar kan lära sig av varandra och dela med sig av erfarenheter.

Besök Forumet – klicka här!

Dela detta inlägg: