Person som lämnar personuppgifter till ett företag

Varför ska ditt företag ha en integritetspolicy?

Vet du att personuppgifter även inkluderar bilder på din personal och att du måste ha en integritetspolicy för att informera om hur du samlar in och behandlar både kunduppgifter och uppgifter om dina anställda. Uppgifterna får dessutom bara samlas in för ett tydligt ändamål.

Vad är en personuppgift?

Personuppgifter är uppgifter som kan knytas till en levande person. Det är allt från personnummer och namn till registreringsnummer på en bil och fotografier.

Dataskyddförordningen, GDPR, reglerar vad som måste finnas med när företaget behandlar personuppgifter för både kunder och anställda. I Dataskyddsförordningen finns det regler som ni behöver känna till för att säkerställa att ni behandlar personuppgifterna på ett korrekt sätt.

Företaget kanske samlar in personuppgifter för att leverera en tjänst, marknadsföra er eller samla information och statistik.

Allt som kan göras med kunders personuppgifter kallas i GDPR för personuppgiftsbehandlingar. Som företag är ni skyldiga att informera kunden om hur ni ska använda personuppgifterna som de lämnar.

Tänk på detta när du samlar in personuppgifter 

  • Du får bara hantera personuppgifter när det är tillåtet
  • Du måste informera personerna att du samlar in uppgifter om dem
  • Du måste bestämma vad uppgifterna ska användas till, innan du samlar in dem
  • Du får inte samla in uppgifter i annat syfte än vad de ska användas till
  • Du får inte samla in andra personuppgifter utöver de du behöver
  • Du måste se till att uppgifterna är uppdaterade samt rätta till felaktiga uppgifter
  • Du måste radera de uppgifter som inte behövs
  • Du måste skydda personuppgifterna
  • Du måste dokumentera i en integritetspolicy hur du har tänkt hantera personuppgifterna

 

Hur länge får du spara personuppgifter?

Personuppgifter får bara sparas så länge som det behövs för ändamålet. Du som företagare måste kunna visa varför uppgifterna ska behandlas och sparas. En enkel tumregel är att uppgifter som är nödvändiga får sparas, men uppgifter som bara är ”bra att ha” måste raderas. Hur länge uppgifterna ska lagras är det upp till er som företag att bestämma, och lagringstiden ska stå i proportion till ändamålet. Men om ni är osäkra rekommenderar vi att ni tar kontakt med någon av våra jurister.

Enligt GDPR behöver behandling av personuppgifter stödja sig på en laglig grund, utan detta är personuppgiftsbehandlingen alltså inte laglig.

 

Vad räknas som laglig grund för behandling av personuppgifter?

  • Samtycke: Personen har sagt ja till att du registrerar uppgifter om honom eller henne.
  • Avtal: Personen har ett avtal med företaget. Det kan till exempel vara anställningsavtal, konsultavtal eller hyresavtal.
  • Intresseavvägning: Om företaget har ett berättigat behov att behandla personuppgifter där behandlingen är nödvändig för det aktuella ändamålet och väger tyngre än personens rätt till skydd för personuppgifterna.
  • Rättslig förpliktelse: Det finns lagar och regler som gör att företaget måste behandla vissa personuppgifter i sin verksamhet, till exempel för bokföringsskyldighet.
  • Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.
  • Grundläggande intresse: Den personuppgiftsansvarige måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om personen är medvetslös.

 

Starkare skydd för känsliga personuppgifter

Det finns personuppgifter som är extra känsliga och därför har starkare skydd. Dessa är:

  • Etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i en fackförening
  • Hälsa
  • Sexuella läggning/sexualliv
  • Genetiska uppgifter
  • Biometriska uppgifter som används för att entydigt identifiera en person.

 

Förhindra att personuppgifter läcker ut

När företaget behandlar personuppgifter måste ni även skydda informationen och förhindra att den läcker ut, förvanskas eller förstörs. Företaget måste göra en riskbedömning för att säkerställa att personuppgifterna är säkra.

Det som är lätt att glömma är att det även ska finnas en integritetspolicy för företagets personal, eftersom företaget vanligtvis behandlar en mängd uppgifter om de anställda.

När sedan integritetspolicyn är färdig är det vanligt att företaget har den tillgänglig på sin webbsida. Det är även viktigt att se till att integritetspolicyn uppdateras om något i personuppgiftbehandlingen ändras.  

Skriv integritetspolicy

Alla företag som samlar in data från användare bör ha en integritetspolicy som informerar om hur du använder de uppgifter som kunder och andra delar med sig av till ditt företag. En integritetspolicy ska tydligt och enkelt förklara för användarna vilken information du samlar in och syftet med hanteringen, hur du samlar in den informationen, samt hur du skyddar och lagrar informationen. Integritetspolicyn bör finnas tillgänglig på er hemsida liksom era allmänna villkor.

Relaterade artiklar