Som företagare är det bra att veta att personuppgifter kan vara allt ifrån sammanställande av bilder på anställd personal, till att spara personalens namn och personnummer för att kunna betala ut lön och ersättningar. Det finns även en hel del regler du måste ta hänsyn till när du samlar in dessa uppgifter, bland annat finns det särskilt känsliga uppgifter som du inte alls får spara.
Personuppgifter inkluderar även foton
När du som företagare samlar in och sparar uppgifter om företagets personal eller kunder är det bra att känna till att det finns regler att förhålla sig till avseende lagringen av dessa personuppgifter. Vad som räknas som personuppgifter kan vara allt ifrån sammanställande av bilder på de anställda för att visas på företagets hemsida till lagring av kunders namn och personnummer för att spara sådan information i ett kundregister. Alla uppgifter som på något sätt, direkt eller indirekt, kan kopplas till en privatperson räknas som en personuppgift.
Samtycke
Varje behandling av personuppgifter måste enligt dataskyddsförordningen vila på en laglig grund. Det får alltså endast ske om det uttryckligen framgår av lagstiftningen. Personen vars uppgifter behandlas måste antingen samtycka till hanteringen, alternativt måste behandlingen anses vara nödvändig. Exempel på en nödvändig behandling kan vara att hanteringen av personuppgiften krävs för att kunna fullgöra ett avtal som personen i fråga är part i, eller för att skydda intressen som är av grundläggande betydelse för denne.
– Om du som företagare vill spara fler uppgifter om en kund än vad som krävs för att fullgöra avtalet behövs med andra ord ett samtycke från kunden. Kunden måste även informeras om typen av uppgifter som sparas och hur dessa uppgifter används. Detta kan exempelvis göras kortfattat i själva avtalet eller i avtalet hänvisa till sådan information på er hemsida, förklarar Linus Löfgren, affärsjurist på Lexly.
Så fort ett företag behandlar personuppgifter behöver hänsyn tas till reglerna i dataskyddsförordningen.
Känsliga personuppgifter
Det är inte alla personuppgifter som man som företag får behandla. Personuppgifter som rör religiös övertygelse, etniskt ursprung, hälsa, sexuell läggning och medlemskap i fackförening är exempel på det som räknas som känsliga personuppgifter, vilka enligt huvudregeln inte får behandlas.
– Undantag från detta kan vara om personen i fråga uttryckligen samtyckt till behandlingen eller om personen i fråga själv offentliggjort uppgifterna. De grundläggande kraven rörande laglig grund och nödvändighet gäller dock även om personen i fråga samtyckt till behandlingen, säger Linus Löfgren.
Höga sanktionsavgifter
Om ett företag bryter mot reglerna i dataskyddsförordningen kan Datainspektionen besluta om att företaget ska betala en administrativ sanktionsavgift. Vilket belopp som företaget kan tvingas betala beror på flertalet faktorer, bland annat tittar man på hur allvarlig överträdelsen är, hur stor skadan som skett är, om överträdelsen anses vara avsiktlig samt om det är fråga om känsliga personuppgifter.
– För mindre allvarliga överträdelsen finns ett maxbelopp om tio miljoner euro eller två procent av företagets globala omsättning, beroende på vilket belopp som är högst. Vid mer allvarliga överträdelser är maxbeloppet 20 miljoner euro eller fyra procent av företagets globala omsättning, säger Linus Löfgren.
Personuppgiftsansvarig och personuppgiftsbiträde
Det är företaget, som juridisk person, som är personuppgiftsansvarig. Vilka ändamål som organisationen har för behandlingen av personuppgifter bestäms även det av den personuppgiftsansvarige. I ett företag är det styrelsen som står som ytterst ansvarig för att reglerna efterlevs.
– Personuppgiftsbiträde kallas den som behandlar uppgifterna för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde arbetar aldrig i det företag vars uppgifter man behandlar, utan finns alltid utanför den personuppgiftsansvariges organisation, säger Linus Löfgren.
Personuppgiftsbiträdet får endast behandla uppgifterna i fråga enligt de instruktioner som ges från den personuppgiftsansvarige. Skyldigheter såsom att säkerställa en lämplig säkerhetsnivå för uppgifterna samt att föra register över behandlingar gäller numera även för personuppgiftsbiträdet.
PUB-avtal
Eftersom personuppgiftsbiträdet kan bli skadeståndsansvarig och bli föremål för tillsyn och sanktionsavgifter behöver den personuppgiftsansvarige och personuppgiftsbiträdet upprätta ett så kallat personuppgiftsbiträdesavtal, även kallat ett PUB-avtal. I ett sådant avtal garanterar personuppgiftsbiträdet att tillräckliga åtgärder genomförs för att uppfylla dataskyddsförordningens krav och att den registrerades rättigheter skyddas. Avtalet ska även exempelvis innehålla information om föremålet för behandlingen, dess varaktighet, ändamål och art, typen av personuppgifter samt den personuppgiftsansvariges skyldigheter och rättigheter.
Skriv integritetspolicy och personuppgiftsbiträdesavtal
Hos oss skriver ni enkelt integritetspolicy och personuppgiftsbiträdesavtal tillsammans med en av våra jurister via telefon- eller videomöte, till fast pris.
