meny

Dataskyddsförordningen berör dig som har företag

Dataskyddsförordningen innebär nya regler om hur du får hantera personuppgifter. Här får du som är företagare veta vad du behöver göra.

Du som företagare har mycket att vinna på att ha ordning på de personuppgifter du samlar in och hanterar. Inte minst för att dina kunder, leverantörer och anställda ska känna förtroende för att du hanterar deras uppgifter på ett ansvarsfullt sätt.

Alla företag gynnas av att ha ordning och reda, oavsett om det gäller sin produktion, sina kundkontakter, sin bokföring eller sitt sätt att hantera personuppgifter.

Du har kanske läst om en del spektakulära händelser på senare tid då hackers kommit över mängder av personuppgifter och då ofta kreditkortsuppgifter. Oavsett storlek kan företag som tappar kontroll över uppgifter om exempelvis sina kunder räkna med kostnader i badwill, inte minst från de personer som lämnat sina uppgifter till företaget i förtroende om att uppgifterna ska hanteras på ett ansvarsfullt och lagligt sätt.

På samma sätt som dåligt skyddade personuppgifter kan ge ditt företag kostnader i badwill, kan du räkna med goodwill om du på ett bra och tydligt sätt kan visa att du följer reglerna i dataskyddsförordningen.

En av tankarna med dataskyddsförordningen är att se till att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta för främja den fria konkurrensen och göra det enklare för företag att expandera och verka i flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen behöver alltså inte bekymra sig för att reglerna för hur uppgifter om exempelvis kunder får hanteras är annorlunda i något annat EU-land. Har du ordning på hur dina personuppgifter hanteras nu, är du förberedd för en framtida eventuell expansion.

Vad är GDPR egentligen? Vem är ansvarig? Och krävs det samtycke från kunder och anställda för att behandla deras personuppgifter? Det och mycket mer ger Datainspektionens dataråd Agneta Runmarker  svar på i den här 10 minuter långa filmen om GDPR.

Fördelarna för dig som företagare

Fram till nu har företag i EU behövt handskas med 28 olika dataskyddslagar. För många företag som har velat ta sig in på nya marknader har den fragmenteringen gett upphov till kostsamma administrativa bördor.

Den nya förordningen kommer att minska byråkratin. Den innebär, till exempel, att företag slipper skyldigheten att informera olika nationella dataskyddsmyndigheter om de uppgifter man behandlar.

Samma regler kommer att gälla både för företag som är etablerade inom EU och för företag utanför EU. Alla företag som behandlar personuppgifter för enskilda personer i EU och som erbjuder tjänster eller produkter måste följa EU:s dataskyddsregler.

Före dataskyddsförordningen

Ett litet reklamföretag vill utvidga sin verksamhet från Sverige till Tyskland. I dag lyder företagets uppgiftsbehandlingsverksamhet under en separat uppsättning regler i Sverige, vilket innebär att de måste handskas med ytterligare en tillsynsmyndighet. Detta innebär också ett antal extra kostnader: från att skaffa sig juridisk rådgivning till att anpassa affärsmodeller och betala anmälningsavgifter för databehandling. De kostnaderna kan snabbt komma att överträffa fördelarna med att utvidga verksamheten till en ny marknad.

Med dataskyddsförordningen

Företag som utvidgar sin verksamhet till ett annat EU-land kommer att hantera en och samma uppsättning regler. De kommer inte att behöva ta på sig extrakostnader för juridisk rådgivning. Det blir billigare att utvidga verksamheten inom EU.

Fördelarna för mindre företag

De här fördelarna gäller inte bara för stora företag. Även små och medelstora företag drar nytta av den förenklade lagstiftning som de nya reglerna innebär. Dataskyddsförordningen syftar till att ta bort alla onödiga administrativa krav som kan vara för betungande för mindre företag.

På samma sätt kommer många små och medelstora företag att gynnas av att företag inte behöver utse ett dataskyddsombud om de inte bedriver verksamhet som utgör specifika dataskyddsrisker, såsom att hantera känsliga uppgifter i stor omfattning. Men inte heller de företag som måste göra det behöver anställa någon på heltid. Istället kan de spara pengar genom att utse en tillfällig, behörig konsult till sitt dataskyddsombud.

Uppmuntrar innovation

Dataskyddsförordningen ger företagen den flexibilitet de behöver för att kunna använda stora datamängder på ett innovativt sätt, samtidigt som förordningen skyddar enskilda personers grundläggande rättigheter.

Att bygga in dataskyddsanordningar i produkter och tjänster från de tidigaste utvecklingsfaserna – inbyggt dataskydd – är nu en grundläggande princip för att driva företag. Det ger företag incitament att vara innovativa och utveckla nya idéer, metoder och tekniker för att säkra och skydda personuppgifter.

Allt handlar om konsumenternas förtroende, också på nätet

Konsumenter värderar sin integritet på nätet högt. Företag som misslyckas med att i tillräcklig utsträckning skydda en enskild persons uppgifter riskerar att förlora deras förtroende. Detta förtroende är avgörande för utvecklingen av många nya affärsmodeller och för att få konsumenter att använda nya produkter och tjänster på nätet.

Dataskyddsförordningen bemöter medborgarnas oro och hjälper företag att få tillbaka konsumenternas förtroende.

Med dataskyddsförordningen har medborgarna ett antal rättigheter som ger dem större kontroll över sina personuppgifter. Det rör sig om rätten att bli informerad, rätten att få tillgång till sina uppgifter och rätten att flytta sina uppgifter från en tjänsteleverantör till en annan. Möjligheten att flytta personuppgifter från en leverantör till en annan innebär att nystartade företag och småföretag nu kan få tillgång till uppgiftsmarknader som tidigare dominerats av digitala jättar.

Underlättar internationella dataflöden

I dataskyddsförordningen klargörs under vilka villkor ett företag kan överföra européers personuppgifter till länder utanför EU, samtidigt som man garanterar en hög nivå av skydd för de uppgifter som skickas utomlands.

De nya reglerna innebär utökade möjligheter för företag att använda befintliga instrument som standardavtalsklausuler och bindande företagsregler, och en minskning av byråkratin genom att kravet på förhandsanmälan till dataskyddsmyndigheter avskaffas. Det införs också nya instrument för internationella överföringar, så som godkända uppförandekoder eller certifieringsmekanismer (integritetsmärkningar eller andra märken).

Läs mer om dataskyddsförordningen

Läs mindre

  • Vad är en personuppgift?

    Personuppgifter är all information som direkt eller indirekt kan knytas till en person som är i livet. Typiska personuppgifter är personnummer, namn och adress. Även foton på personer klassas som personuppgifter.

    Ett organisationsnummer är en personuppgift om det handlar om en enskild firma. Registreringsnumret på en bil är en personuppgift om det går att knyta till en person, medan registreringsnumret på en firmabil som används av flera anställda, inte är en personuppgift.

    I vissa fall räknas även olika slags elektroniska identiteter, som exempelvis ip-nummer, som personuppgifter om de kan kopplas till en viss person.

    Känsliga uppgifter

    I dataskyddsförordningen skiljer man mellan vanliga personuppgifter och känsliga personuppgifter. Med känsliga personuppgifter menas bland annat uppgifter som avslöjar personens etniska ursprung, politiska åsikter, religionsåskådning eller sexuella läggning. Även uppgifter om personens hälsa och om personen tillhör en fackförening klassas som känsliga.

    Det ställs strängare krav på företag som registrerar och hanterar känsliga personuppgifter. Företaget måste kunna visa att det har övertygande skäl för att få registrera sådana uppgifter och uppgifterna måste skyddas extra väl så att inga obehöriga kan komma åt dem.

    Uppgifter om att en person misstänkts för brott eller har begått brott klassas inte som känsliga i lagens mening. Men även sådana uppgifter får bara registreras om företaget kan visa att det har starka skäl för det, som exempelvis att det behöver registrera uppgifterna för att kunna göra en brottsanmälan till polisen.

    Läs mer om känsliga personuppgifter och uppgifter om brott

  • Varför bry sig om personuppgifter och GDPR?

    Du som företagare har mycket att vinna på att ha ordning på de personuppgifter du samlar in och hanterar. Inte minst för att dina kunder, leverantörer och anställda ska känna förtroende för att du hanterar deras uppgifter på ett ansvarsfullt sätt.

    Risk för böter

    Den 25 maj 2018 börjar dataskyddsförordningen (GDPR) att gälla i Sverige och övriga EU. En nyhet är att Datainspektionen kan besluta att ett företag som inte följer reglerna i förordningen ska betala en administrativ sanktionsavgift, vilket är en form av böter.

    Sanktionsavgiften kan vara upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen. Beloppets storlek beror bland annat på hur allvarlig överträdelsen av reglerna är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig.

    Risken för kännbara böter har gjort att många företag nu börjar se över hur de samlar in och hanterar personuppgifter. Faktum är dock att det i Sverige även tidigare funnits lagstiftning, i form av personuppgiftslagen, som reglerar och begränsar hur företag får använda personuppgifter.

    Läs mer om sanktionsavgifter och varningar

    Korrekta personuppgifter skapar trygghet och ordning och reda

    Förutom risken för böter om du hanterar personuppgifter i strid med lagen, varför ska ditt företag över huvud taget bry sig om hur det hanterar personuppgifter?

    Genom att bara ha korrekta och relevanta uppgifter om befintliga kunder i kundregistret behöver du som företagare inte känna någon tveksamhet eller oro över att uppgifterna i registret inte är tillförlitliga.

    Alla företag, oavsett verksamhet, gynnas av att ha ordning och reda på sin produktion, sina kundkontakter, sin bokföring och sitt sätt att hantera personuppgifter. En av grundprinciperna i dataskyddsförordningen är att man enbart ska samla in personuppgifter för ett visst, i förväg bestämt syfte, som exempelvis för att kunna sköta avtal, leverans och fakturering till sina kunder. Du får enbart samla in de uppgifter som behövs för att uppfylla det bestämda syftet och uppgifterna ska bara sparas så länge det är nödvändigt.

    Skydda uppgifterna mot stöld och obehöriga

    En annan viktig princip i förordningen är att de personuppgifter som du har i företaget ska skyddas så att de inte stjäls, oavsiktligt raderas eller att någon obehörig kommer åt dem. Uppgifter om ditt företags kunder, leverantörer och anställda är så klart viktiga ur ett konkurrenshänseende. Du vill förmodligen undvika att någon konkurrent ska komma åt uppgifter om dina kunder.

    Det har förekommit att hackare kommit över mängder av personuppgifter och då ofta kreditkortsuppgifter. Oavsett storlek kan företag som tappar kontroll över uppgifter om exempelvis sina kunder räkna med kostnader i badwill, inte minst från de personer som lämnat sina uppgifter till företaget i tro om att de ska hanteras på ett ansvarsfullt och lagligt sätt.

    Läs mer om informationssäkerhet

    Konkurrensfördel att följa reglerna

    I flera branscher har uppförandekoder och certifieringar blivit ett sätt för företag att visa att de exempelvis bedriver sin verksamhet på ett etiskt, socialt eller miljömässigt sätt. För många företag har det blivit en konkurrensfördel att uppfylla en viss uppförandekod eller inneha en viss certifiering.

    Uppförandekoder är något som uppmuntras i dataskyddsförordningen. Genom att i framtiden ansluta ditt företag till en uppförandekod som rör hur personuppgifter hanteras, kan kunder och leverantörer känna sig trygga med hur du hanterar deras uppgifter, något som kan bli en konkurrensfördel.

    På samma sätt som dåligt skyddade personuppgifter kan ge ditt företag kostnader i badwill, kan du räkna med goodwill om du på ett bra och tydligt sätt kan visa att du följer reglerna i dataskyddsförordningen.

    Läs mer om uppförandekoder och certifieringar

    Samma regler i hela EU gör det enklare för dig som företagare

    En av tankarna med dataskyddsförordningen är att se till att samma regler för hur personuppgifter får hanteras ska gälla i hela EU. Detta gör det enklare för företag att expandera och verka i flera EU-länder. Ett svenskt företag som följer dataskyddsförordningen behöver alltså inte bekymra sig för att reglerna för hur uppgifter om exempelvis kunder får hanteras är annorlunda i något annat EU-land. Har du ordning på hur personuppgifter hanteras i ditt företag nu så är du förberedd för en framtida expansion.

  • När får du samla in personuppgifter?

    Du måste ha stöd i lagen för att få samla in personuppgifter, det kallas för att ha en rättslig grund. Det finns olika typer av rättsliga grunder. En kan till exempel vara ett avtal mellan dig och en kund, då har du rätt att samla in de uppgifter som behövs för att uppfylla avtalet. För att få samla in vissa andra uppgifter behövs samtycke, det vill säga du behöver be personen om lov först.

    Personuppgifter får bara samlas in för "särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål". Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften.

    Ett företag kan till exempel utrusta sina bilar med speciell gps-utrustning som används för elektroniska körjournaler för att förenkla redovisningen till Skatteverket. Men arbetsgivaren får inte använda uppgifterna som gps:en samlar in för att kontrollera hur långa raster de anställda tar.

    Man måste ha stöd i dataskyddsförordningen för att få hantera personuppgifter. Det kallas för att ha en rättslig grund. Det finns olika rättsliga grunder som företag kan använda. De viktigaste är:

    Rättslig förpliktelse

    I vissa fall är företag skyldiga att registrera personuppgifter, som exempelvis för att uppfylla bokföringsskyldigheten i bokföringslagen.

    Avtal

    Anställningsavtal, kundavtal och leverantörsavtal är exempel på avtal som innebär att företag måste registrera och hantera personuppgifter. Företaget får dock bara registrera de uppgifter som behövs för att uppfylla avtalet.

    Samtycke

    En annan rättslig grund är samtycke, som innebär att du ber personen ifråga att få registrera uppgifter om hen. Ett samtycke är enligt dataskyddsförordningen "varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne".

    Ska ditt företag samla in uppgifter så måste personen först få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att sedan kunna ge sitt godkännande.

    Intresseavvägning

    Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att man har ett berättigat behov av att hantera uppgifterna och att detta behov väger tyngre än den enskildas rätt till skydd för uppgifterna.

    Läs mer om de rättsliga grunderna

    Exempel på rättsliga grunder

    Här är några exempel på rättsliga grunder som kan användas då personuppgifter hanteras i olika it-system:

    • lönesystem, rättslig grund = avtal och rättslig förpliktelse
    • kundregister, rättslig grund = avtal (för vissa uppgifter krävs samtycke)
    • webbplats, rättslig grund = samtycke eller intresseavvägning.

För dig som har företag

  • De viktigaste principerna för dig som företagare

    Dataskyddsförordningen innehåller en lång rad regler och krav för hur personuppgifter får hanteras i en organisation. Dessa regler ger dock inte särskilt mycket vägledning hur du som småföretagare får behandla personuppgifter om dina kunder, leverantörer, anställda och andra.

    Men alla dessa regler, skäl och annan juridisk text i förordningen bottnar i några få grundläggande principer:

    • Samla in och hantera endast personuppgifter om det är tillåtet.
    • Informera de personer vars uppgifter du samlar in. Det kan vara uppgifter om exempelvis kunder, leverantörer och anställda.
    • Bestäm i förväg vad personuppgifterna ska användas till och använd inte uppgifterna för något annat syfte.
    • Samla inte in fler personuppgifter än vad som behövs. Samla aldrig in personuppgifter ”därför att det kan vara bra att ha”.
    • Se till att personuppgifterna är korrekta och uppdaterade.
    • Radera personuppgifter som inte längre behövs.
    • Skydda uppgifterna från otillåten användning och obehörig åtkomst.
    • Dokumentera hur du har tänkt i din hantering av personuppgifter.

    Vill man förenkla dessa grundläggande principer lite till så kommer du rätt långt genom att bara följa de här tre punkterna:

    • Samla inte in fler personuppgifter än nödvändigt och enbart för ett visst, i förväg bestämt ändamål.
    • Spara inte uppgifterna längre än nödvändigt.
    • Skydda de personuppgifter du hanterar i företaget.

  • Informera mera

    Kommer du att lämna uppgifterna vidare till andra, måste du tala om det. Tänk på att informationen måste vara tydlig och begriplig och helst skriftlig.

    Det här behöver finnas med i informationen:

    • Vem som är ansvarig för att personuppgifterna hanteras. Detta är vanligtvis ditt företag. Det är inte en person förutom för enskilda firmor. Informationen ska inkludera kontaktuppgifter till företaget.
    • Varför uppgifterna samlas in och hur de ska användas.
    • Vilken den rättsliga grunden är (exempelvis för att uppfylla ett avtal med kunden).
    • Hur länge du kommer att spara uppgifterna (exempelvis maximalt ett år efter avslutad kundrelation).
    • Om du har angett samtycke som den rättsliga grunden (det kan till exempel vara för att kunna skicka marknadsföring till personen), då måste du också informera om att personen alltid har rätt att dra tillbaka sitt samtycke, vilket innebär att du då måste sluta skicka marknadsföring till personen.
    • Att den person vars uppgifter du registrerar har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om hen.
    • Att ditt företag är skyldigt att rätta uppgifter som är felaktiga, ofullständiga eller missvisande.

    Läs mer om att informera de vars uppgifter du samlar in och använder

Datainspektionen har tagit fram en checklista som ett stöd till företag och andra organisationer som förbereder sig för dataskyddsförordningen. Mer information om varje punkt hittar du under Lagar och regler.

Är ert företag medveten om EU:s nya dataskyddsförordning?

Ni bör försäkra er om att beslutsfattare och nyckelpersoner på ert företag är medvetna om att personuppgiftslagen ersätts av dataskyddsförordningen. Ni bör också undersöka hur er organisation kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med.

Vilka personuppgifter hanterar ni?

Ni bör inventera och dokumentera vilka personuppgifter ni hanterar, hur de samlas in och till vem uppgifterna lämnas ut. Ni kan behöva göra en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av er organisation.

Dataskyddsförordningen innehåller rättigheter som anpassats till informationssamhället. Om ni till exempel har rättat en felaktig personuppgift som tidigare har lämnats ut till någon annan, behöver ni informera mottagaren om detta så att denne i sin tur kan rätta sina egna register. Ni kommer inte att kunna uppfylla detta krav om ni inte vet vilka uppgifter som ni hanterar, varifrån de samlades in och till vem uppgifterna har lämnats ut. Om ni dokumenterar detta kan det hjälpa er att uppfylla dataskyddsförordningens krav på att ni måste kunna visa att förordningens bestämmelser följs. Andra sätt att uppfylla detta krav är att införa en effektiv policy för dataskydd och tydliga rutiner vid hanteringen av personuppgifter.

Har ni tidigare använt er av missbruksregeln?

Ni bör undersöka om ni i er verksamhet har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade missbruksregeln. Denna regel finns inte kvar i förordningen. Ni bör därför särskilt undersöka om behandling som tidigare stödde sig på missbruksregeln är förenlig med dataskyddsförordningens bestämmelser.

Behandling i ostrukturerat material, till exempel löpande text på internet, var enligt personuppgiftslagen tillåten så länge behandlingen inte utgjorde en kränkning av den registrerades personliga integritet. Med dataskyddsförordningen har denna svenska särreglering försvunnit. Förordningen ska tillämpas i sin helhet på all automatiserad behandling av personuppgifter. Har ni i er organisation utnyttjat undantaget för behandling i ostrukturerat material, till exempel vid publicering av personuppgifter på en webbplats eller i annan löpande text, är det viktigt att ni undersöker vilka förutsättningar ni har för att behandla uppgifterna enligt förordningens bestämmelser. Ni kan till exempel behöva undersöka om ni har en rättslig grund för behandlingen, att ni uppfyller de grundläggande kraven på behandlingen och att ni informerar de registrerade på ett korrekt sätt.

Vilken information lämnar ni?

Ni bör granska den information som ni lämnar till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra.

Dataskyddsförordningen innehåller utökade krav på vilken information som ska lämnas till de registrerade. Bland annat måste ni informera om den rättsliga grunden för behandlingen, hur länge personuppgifterna lagras och möjligheten att lämna klagomål till Datainspektionen om man anser att ens personuppgifter har hanterats felaktigt av er. Tänk på att dataskyddsförordningen ställer krav på att informationen som lämnas ska vara kortfattad, lättbegriplig och utformad med ett tydligt och enkelt språk.

Hur ska ni tillmötesgå de registrerades rättigheter?

Ni bör se över era rutiner för att säkerställa att ni kan uppfylla alla rättigheter som de registrerade har enligt dataskyddsförordningen, som exempelvis hur ni raderar personuppgifter och hur ni lämnar ut uppgifter elektroniskt i ett allmänt använt format.

De viktigaste rättigheterna för de registrerade är att:

  1. få tillgång till sina personuppgifter
  2. få felaktiga personuppgifter rättade
  3. få sina personuppgifter raderade
  4. invända mot att personuppgifterna används för direktmarknadsföring
  5. invända mot att personuppgifterna används för automatiserat beslutsfattande och profilering
  6. flytta personuppgifterna (dataportabilitet)

Dataskyddsförordningen innehåller en skyldighet att på begäran lämna information till de registrerade om vilka uppgifter som behandlas om dem. Detta ska göras kostnadsfritt. När ni hanterar en sådan begäran kommer ni dessutom att behöva lämna viss ytterligare information, som exempelvis hur länge personuppgifterna kommer att lagras och att man har rätt att få felaktiga uppgifter rättade. Om en sådan begäran görs elektroniskt ska den registrerade också kunna begära att få ut informationen elektroniskt.

I dataskyddsförordningen finns rätten till dataportabilitet. Denna rättighet gör det lättare att flytta sina personuppgifter från ett företag eller leverantör till en annan, till exempel om man vill byta socialt nätverk eller teleoperatör. För ert företag innebär detta att ni i många fall måste kunna tillhandahålla uppgifterna i ett allmänt använt och maskinläsbart format. Tänk på att det är viktigt att säkerställa att en sådan begäran verkligen kommer från den registrerade och undersök därför vilka tekniska lösningar ni kan behöva för detta.

Med vilket rättsligt stöd behandlar ni personuppgifter?

Ni bör undersöka vilka olika typer av uppgifter som ni behandlar och med vilket rättsligt stöd ni gör detta. Ni bör också dokumentera era slutsatser.

Många företag har inte tydligt pekat ut med vilket rättsligt stöd de behandlar personuppgifter. Det är inte ovanligt att man anser sig ha flera alternativa grunder för sin behandling. I dataskyddsförordningen finns krav på att informera om den rättsliga grunden redan när uppgifterna samlas in. Det är därför viktigt att redan från början ha klart för sig med vilket stöd detta sker. Dessutom är ett flertal av de registrerades rättigheter beroende av den rättsliga grunden för behandlingen. Det finns till exempel större möjligheter för en registrerad att motsätta sig en behandling som sker med stöd av en intresseavvägning.

Läs mer om vilket rättsligt stöd som finns

Observera att myndigheter inte kommer att kunna stödja sin behandling på en intresseavvägning.

Hur inhämtar ni samtycke?

Ni bör undersöka på vilket sätt ni inhämtar samtycke, vilken information ni lämnar och hur ni sparar uppgiften om att samtycke har lämnats av den registrerade.

Ett giltigt samtycke enligt dataskyddsförordningen måste vara fråga om en frivillig, specifik och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandlingen av personuppgifter som rör honom eller henne. Det får inte råda någon tvekan om att den registrerade godtar behandlingen av personuppgifter. Till exempel godtas inte ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats. Om ni stödjer er på samtycke för att behandla personuppgifter behöver ni försäkra er om att kraven på samtycke i förordningen är uppfyllda. Om så inte är fallet, måste ni antingen förändra era rutiner eller finna en annan rättslig grund för behandlingen.

Dataskyddsförordningen ställer tydliga krav på att den som behandlar personuppgifter med stöd av samtycke måste kunna visa att ett samtycke har lämnats. Ni bör fundera över hur ni i efterhand ska kunna visa att ett giltigt samtycke har lämnats.

Behandlar ni personuppgifter om barn?

Ni bör redan nu fundera på hur ni ska kontrollera en persons ålder och hur ni ska inhämta vårdnadshavares samtycke i samband med behandling av barns personuppgifter online.

Genom dataskyddsförordningen införs ett förstärkt skydd för barns personuppgifter, särskilt när det gäller kommersiella internettjänster som sociala nätverk. Om man erbjuder onlinetjänster till barn och då hämtar in personuppgifter med stöd av samtycke, krävs det att samtycket hämtas in från barnets vårdnadshavare om barnet är under 13 år. Detta gäller insamling av uppgifter om barn som bor i Sverige. I andra EU-länder kan vårdnadshavarens samtycke krävas ända upp tills barnet är 16 år. Vårdnadshavares samtycke krävs dock inte för sådana onlinetjänster som erbjuder hjälp och stöd direkt riktat till barn och ungdomar.

Eftersom barn enligt förordningen förtjänar särskilt skydd måste all den information som riktar sig till barn vara skriven på ett tydligt och enkelt sätt som barn förstår. Barns skyddsvärda ställning ska också vägas in vid en intresseavvägning.

Läs mer om behandling av barns personuppgifter

Vad ska ni göra vid personuppgiftsincidenter?

Ni bör se till att ni har tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.

Dataskyddsförordningen innehåller nya bestämmelser om vad ni som organisation måste göra om ni blir utsatta för dataintrång eller på något annat sätt förlorar kontrollen över de uppgifter ni behandlar. Ni måste dokumentera alla sådana händelser. När det inte är osannolikt att incidenten medför risker för enskildas fri- och rättigheter måste ni anmäla händelsen till Datainspektionen.

Läs mer om personuppgiftsincidenter

Vilka särskilda integritetsrisker finns med er behandling?

Ni bör fundera på om er personuppgiftsbehandling är förenad med särskilda risker för enskildas fri- och rättigheter och om ni i så fall måste göra en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen.

Förordningen ställer särskilda krav på den som vill behandla personuppgifter på ett sätt som kan medföra stora integritetsrisker för enskilda. Om er organisation avser att utföra en riskfylld personuppgiftsbehandling måste ni först göra en noggrann analys av vilka konsekvenser behandlingen kan få för enskilda. Sådan riskfylld behandling kan till exempel vara storskaliga register som innehåller känsliga personuppgifter, profilering eller omfattande kameraövervakning på allmän plats. Om er analys visar att risken är hög, måste ni samråda med Datainspektionen innan behandlingen får påbörjas.

Läs mer om konsekvensbedömningar och förhandssamråd

Har ni byggt in skydd för personuppgifter i era it-system?

Ni bör redan nu ta hänsyn till dataskyddsförordningens regler när ni tar fram nya it-system eller förändrar befintliga. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader.

Grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar informationen längre än nödvändigt och inte använda uppgifterna till något annat än vad som var syftet när de samlades in.

Genom att ta hänsyn till dessa principer när man utvecklar nya eller ändrar befintliga it-system blir det enklare för organisationer att uppfylla reglerna i förordningen. Att bygga in dataskydd i systemen kallas privacy by design och regleras uttryckligen i förordningen.

Läs mer om inbyggt dataskydd

Vem ansvarar för dataskyddsfrågor i er organisation?

Ni bör bestämma var i ert företag som ansvaret för dataskyddsfrågor ska ligga. Om det krävs enligt dataskyddsförordningen måste ni även formellt utse ett dataskyddsombud.

Förordningen ställer krav på att vissa organisationer ska utse ett dataskyddsombud. Det gäller till exempel offentliga myndigheter och organisationer vars verksamhet involverar särskilt riskfylld behandling, som exempelvis regelbunden och systematisk övervakning av registrerade i stor skala eller omfattande behandling av känsliga personuppgifter.

Den person som utses måste ha tillräcklig kunskap om dataskydd och få det stöd och de befogenheter som krävs för att kunna utföra sitt uppdrag på ett effektivt och oberoende sätt.

Ni bör redan nu överväga om er verksamhet kräver att ni utser ett dataskyddsombud.

Läs mer om dataskyddsombud

Har ni verksamhet i flera länder?

Om ert företag bedriver verksamhet i flera olika EU-länder bör ni ta reda på vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar ni utför.

Huvudregeln i dataskyddsförordningen är att en organisation bara ska behöva svara inför dataskyddsmyndigheten i ett av EU:s medlemsländer. Om ni har verksamhet i flera länder är det därför viktigt att bedöma vilken dataskyddsmyndighet som ansvarar för tillsynen av de personuppgiftsbehandlingar som ni utför. Förordningens regler kring detta är komplicerade men förenklat uttryckt bestäms ansvarig dataskyddsmyndighet utifrån var er organisation har sin centrala förvaltning eller var beslut om personuppgiftsbehandling fattas. I organisationer med traditionella upplägg, där alla viktiga beslut fattas på huvudkontoret, skapar detta normalt inga större problem. Det kan dock bli svårare att avgöra i organisationer med spridda ansvarsområden, där beslut om personuppgiftsbehandlingen ofta fattas på olika ställen. I sådana fall kan olika behandlingar falla under olika tillsynsmyndigheters behörighet.

Det kan alltså vara nödvändigt att kartlägga var i er organisation de viktigaste och mest betydelsefulla besluten om personuppgiftsbehandling fattas.

Läs mer om dataskyddsförordningen