GDPR företag
GDPR företag
Det är få företag som bedriver sin verksamhet utan att behandla personuppgifter. Den allmänna dataskyddsförordningen beskriver under vilka förutsättningar företag får behandla personuppgifter, exempelvis för att leverera enligt ett avtal. Det är därför av central betydelse att företag tillämpar och efterlever kraven enligt GDPR, om och när personuppgifter behandlas.
När företag behandlar personuppgifter har de också en rättslig skyldighet att känna till och minska riskerna med personuppgiftsbehandlingen och att vidta åtgärder för att skydda uppgifterna. Beroende på vilken verksamhet som bedrivs av företaget kan en rad olika mer eller mindre komplexa åtgärder behöva tillämpas. Då graden av komplexitet kan variera beroende på era unika förutsättningar, är det viktigt med en grundlig förståelse för regelverket för att inte bara leva upp till kraven i GDPR, utan att inte göra det svårare än det behöver vara utifrån förutsättningarna i er verksamhet.
GDPR mot företag
Gäller GDPR företag? Ja, GDPR är en lagstiftning som gäller för alla företag som behandlar personuppgifter. GDPR påverkar därför de flesta företag och ställer krav på alla led av ett företags personuppgiftsbehandling. En utmaning med GDPR för företag är att alla företag av alla storlekar har samma krav, alltså gäller GDPR för små företag liksom stora företag som hanterar personuppgifter. Detta oberoende av vilka resurser företaget kan avsätta till att arbeta med efterlevnaden av GDPR.
Vad innebär GDPR för företag? För att efterleva GDPR behöver företag efterleva GDPR:s principer för behandling av personuppgifter samt en rad detaljerade krav inklusive att implementera tekniska och organisatoriska säkerhetsåtgärder. Detta innebär exempelvis att företag behöver ha tydliga rutiner för behandling av personuppgifter, säkerställa att uppgifterna är korrekta och uppdaterade, samt ha system för att radera eller rätta felaktiga uppgifter. GDPR innehåller omfattande krav och dessa exempel utgör bara ett axplock.
En av de grundläggande principerna för behandling av personuppgifter är öppenhet (transparens). Företag måste tydligt informera de registrerade individerna om hur deras personuppgifter samlas in och används. Detta innebär att det finns ett krav på att ha en klar och lättillgänglig integritetspolicy som beskriver behandlingen av personuppgifter som företaget ansvarar för.
GDPR ger också individer vissa specifika rättigheter, såsom rätten till dataportabilitet och rätten att bli bortglömd. Företag behöver ha rutiner på plats för att hantera sådana förfrågningar från registrerade personer. Är det återkommande så att de registrerade åberopar sina rättigheter bör det finnas etablerade rutiner för att hantera dessa förfrågningar då de behöver behandlas skyndsamt, normalt inom 30 dagar.
Får företag spela in samtal GDPR?
Inspelning av telefonsamtal är integritetskänsligt. Ett samtal innehåller inte bara den konversation som förs, utan även andra uppgifter som skyddas av GDPR som röst och känsloläge. I ett samtal kan det även förekomma uppgifter som företaget inte räknade med skulle spelas in, exempelvis uppgifter om hälsa eller andra så kallade särskilda kategorier av personuppgifter som skyddas enligt Artikel 9 GDPR. I ett samtal förekommer också mer än en person, exempelvis en kund och en anställd, och dessa kan ha olika intressen i frågan om samtalet får spelas in.
Utifrån dessa aspekter kräver frågan om företag får spela in samtal noggranna överväganden. Svaret på frågan kommer bero på om företaget kan tillämpa de principer som GDPR ställer upp. Företag bör fundera över följande frågor:
- Kan de registrerade informeras innan inspelningen påbörjas?
- Har vi definierat ett tydligt syfte med inspelningen?
- Finns det rättslig grund för att spela in samtalet, exempelvis samtycke, legitimt intresse eller rättslig förpliktelse?
Det kan framstå som enkelt att tillämpa samtycke som laglig grund. Det är dock inte säkert att det är det mest lämpade eftersom det finns omfattande krav på hur samtycket inhämtas, exempelvis för att det ska ses som frivilligt. Om samtycket inte lämnas, innebär det att samtalet inte får spelas in.
Vissa verksamheter har krav från lagstiftning att samtal spelas in, det gäller exempelvis i försäkringsverksamhet. I dessa fall bör istället den legala grunden rättslig förpliktelse utvärderas för att se om den täcker den inspelning företaget önskar göra. Även den legala grunden legitimt intresse kan vara aktuell efter en intresseavvägning.
GDPR avtal mellan företag
GDPR-avtal mellan företag refererar ofta till ett personuppgiftsbiträdesavtal eller ett avtal om gemensamt personuppgiftsansvar. Det skulle även kunna hänvisa till ett avtal som reglerar villkoren för en överföring av personuppgifter mellan två separat personuppgiftsansvarige, ett så kallat avtal om dataöverföring. Dessa avtalstyper används som en del i att säkerställa efterlevnad av dataskyddsförordningen.
Personuppgiftsbiträdesavtalet behöver upprättas när ett företag som är personuppgiftsbiträde behandlar personuppgifter för ett företag som är personuppgiftsansvarig. Detta avtal ska vara skriftligt och beskriva parternas skyldigheter gällande personuppgiftshanteringen, och GDPR har en lista som beskriver samtliga frågor personuppgiftsbiträdesavtalet ska innehålla. Bland annat ska det framgå:
- Syftet med behandlingen och vilka typer av personuppgifter som omfattas.
- Hur personuppgifter ska skyddas och vilka tekniska och organisatoriska säkerhetsåtgärder som ska vidtas.
- Rutiner för rapportering av personuppgiftsincidenter.
- Om och hur personuppgifter får överföras till tredje land.
- Krav på att biträdet ska radera eller återsända personuppgifterna efter att uppdraget är slutfört.
- Eventuell möjlighet att anlita underbiträden samt vilka krav som ställs på dessa.
Vid överföring av personuppgifter till ett annat företag är det också viktigt att endast överföra data som är nödvändig för det specifika ändamålet och att informera de registrerade om överföringen. Dokumentationen av behandlingen är central för att uppfylla GDPR:s krav på ansvarsskyldighet.
Avtalet om gemensamt personuppgiftsansvar behöver upprättas när två eller fler företag är gemensamt personuppgiftsansvariga, det vill säga när de tillsammans bestämmer ändamål och medel för behandlingen av personuppgifter. Ett sådant avtal definierar respektive parts ansvar och roller i relation till den gemensamma behandlingen, bland annat:
- Hur ansvaret för att informera de registrerade fördelas mellan parterna.
- Rutiner för att tillgodose de registrerade individernas rättigheter, exempelvis rätten till tillgång, rättelse och radering av personuppgifter.
- Vilken part som ansvarar för att anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten och informera de registrerade.
- Hur kostnader och resurser för behandlingen ska fördelas.
Det är även viktigt att dokumentera och kommunicera detta ansvar internt i organisationerna och externt till de registrerade, exempelvis genom integritetspolicys. Gemensamt ansvar innebär att alla inblandade parter kan bli ansvariga för skada som orsakats av behandlingen, vilket gör tydliga avtalsbestämmelser extra viktiga.
Avtalet om dataöverföring upprättas ofta när personuppgifter (eller annan känslig information) överförs till ett annat företag och syftar till att säkerställa att överföringen följer tillämpliga lagar och regler för dataskydd.
Generellt vid överföring av personuppgifter är det viktigt att överväga informationssäkerheten i samband med överföringen, exempelvis kryptering under transport.
GDPR böter företag
GDPR-överträdelser kan resultera i betydande böter för företag. De administrativa sanktionsavgifterna kan uppgå till maximalt det högre av 20 miljoner euro eller 4 procent av den globala årsomsättningen. Vad sanktionsavgiften uppgår till i ett enskilt fall beror på vad som inträffat i det enskilda fallet. Det kan också vara så att Integritetsskyddsmyndigheten utfärdat en varning, reprimand eller ett föreläggande, inklusive begränsning och förbud. Beroende på vad som hänt är det alltså inte säkert att det medför en sanktionsavgift.
De höga maxbeloppen understryker vikten av att ta GDPR på allvar och att implementera robusta dataskyddsrutiner. Det är inte bara de ekonomiska konsekvenserna som är allvarliga, överträdelser kan också leda till skadat anseende och minskat förtroende hos kunderna och andra intressenter. För att minska risken för böter bör företag:
- Utbilda personal i GDPR och dataskydd.
- Se över sina tekniska säkerhetsåtgärder för att skydda personuppgifter.
- Ha tydliga processer för att hantera personuppgiftsincidenter.
- Ha en GDPR checklista på företaget.
- Regelbundet granska och uppdatera sina dataskyddsrutiner.
- Ha en GDPR-ansvarig på företaget.
Vi hjälper er med GDPR för företag
Våra lösningar skräddarsys för att möta era unika behov. Oavsett om ni är ett litet företag som just identifierat er första GDPR-fråga eller vill ta nästa steg i ert GDPR-arbete och har behov av kontinuerligt stöd, är vi redo att hjälpa till. Våra tjänster inkluderar:
- GAP-analys av ert nuläge.
- Utformning av dataskyddspolicyer och rutiner.
- Rådgivning kring rättsliga grunder för personuppgiftsbehandling.
- Stöd vid personuppgiftsincidenter.
- Löpande rådgivning om GDPR-compliance och omvärldsbevakning.
Kontakta oss idag för ett kostnadsfritt första möte. Låt oss hjälpa er att inte bara uppfylla GDPR:s krav, utan också att använda dataskydd som en konkurrensfördel i ert företag.
Kontakt
Kontakta oss
Om du föredrar telefon, välkommen att kontakta Felix Morling på +46 70 444 42 85
”*” anger obligatoriska fält