Use Google to translate the web site. We take no responsibility for the accuracy of the translation.
Här har vi samlat frågor och svar om GDPR i praktiken för verksamhetsutövare.
Svar: Ja, om det innehåller personuppgifter.
Svar: Du ska ha bevakning av vad som skrivs och se till att din webshops kundrecensioner inte används på ett otillåtet sätt till exempel genom att publicera personuppgifter på ett sätt som strider mot GDPR. Det innebär att du måste ha uppsikt över, och ibland ta bort, vissa recensioner.
Svar: Rättigheterna i GDPR att till exempel få tillgång till uppgifter gäller för en fysisk person, det vill säga den fysiska person som uppgifterna kan knytas till, oavsett vem som är kunden. Om kunden är en juridisk person, exempelvis ett företag, behöver ni därför i avtalet reglera hur kunden ska få tillgång till uppgifter.
Fysiska personer som är kunder har även i vissa fall rätt till så kallad dataportabilitet. Dataportabilitet innebär att kunden har rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta.
Svar: Ja, ert företag är ett personuppgiftsbiträde när det hanterar personuppgifter för en personuppgiftsansvarigs räkning. Ett företag som har till kärnverksamhet att hantera kunders redovisning och bokslut, är allt som oftast ett personuppgiftsbiträde åt sin kund, som i sin tur är personuppgiftsansvarig.
Om företaget behöver ha ett dataskyddsombud beror på om kärnverksamheten består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Detta innebär att övervakning sker ständigt eller återkommande enligt plan eller system. Det kan till exempel göras genom positionsspårning i mobilappar, lojalitetsprogram och övervakningskameror.
Företaget behöver också dataskyddsombud om kärnverksamheten i stor omfattning består av behandling av känsliga personuppgifter (särskilda kategorier av personuppgifter) och personuppgifter som rör fällande domar i brottmål och vissa överträdelser. Vad som menas med stor omfattning går inte att säga exakt utan bedömningen måste göras utifrån hur många som är registrerade, hur många uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.
Svar: Nej, de behöver inte tillfrågas innan utskick av nyhetsbrev men lagringen av uppgifterna och utskicket är exempel på behandling av personuppgifter. Ditt företag ska därför se till att lagring och utskick följer de grundläggande reglerna om:
Ditt företag ska kunna visa att det följer dessa principer för behandling av personuppgifter. Ni har enligt den tidigare lagstiftningen lämnat information till de registrerade men det kan vara lämpligt att ha en kortfattad information som är uppdaterad med hänsyn till att GDPR börjat tillämpas.
Ditt företag bör också se till att nyhetsbrevet innehåller information om hur mottagarna ska kunna avregistrera sig om de motsätter sig att deras personuppgifter används för direktmarknadsföring.
Svar: Jo, det går bra att bygga upp kontaktlistor. Men de grundläggande reglerna måste följas och de personer vars uppgifter registreras ska informeras. Vilken information du ska lämna vid insamling av personuppgifter kan du läsa mer om här.
Svar: Du bör se över ditt företags kundregister så att det uppfyller de grundläggande villkoren i GDPR om laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, lagringsminimering, integritet och konfidentialitet. Det kan innebära att ditt företag till exempel måste ta bort vissa uppgifter som är onödiga eller har lagrats för länge. Men det kan också innebära att ditt företag måste se över säkerheten gällande exempelvis vem som får läsa eller använda uppgifterna.
Svar: Du bör följa upp och spara svaren som du får från leverantörerna så att du har dokumentation på hur de exempelvis följer reglerna om hantering av personuppgifter utanför EU/EES. Detta så att du kan vidta åtgärder och lämna rätt information till de registrerade.
Läs igenom de avtal ni har med leverantören för att se så att personuppgiftshanteringen verkligen är reglerad och att ni förstår flödet av personuppgifter. Om ni inte har någon digital kundkontakt kan det vara så att det är leverantören av den virtuella butiken som de facto är den personuppgiftsansvarige. Men detta måste ni utreda närmare, så att det sen inte visar sig att det egentligen är ert företag som är den personuppgiftsansvarige.
Svar: Under denna tid gäller GDPR redan som svensk lag. Lagrådet har yttrade sig den 30 januari 2018 om vissa av förslagen och man kan räkna med att propositioner till riksdagen kommer att läggas under våren 2018. Förhoppningen är att riksdagen hinner besluta om ny dataskyddslag innan den 25 maj 2018 så att den kan träda i kraft samtidigt.
Svar: Nej, GDPR är en EU-förordning och gäller före svensk nationell rätt. Men GDPR ger möjlighet att lagra uppgifter som det krävs i unionsrätten eller i nationell rätt, till exempel den svenska bokföringslagen.
Svar: De ska förmedlas med respekt för att de innehåller uppgifter som de anställda förmodligen inte vill att vem som helst ska kunna läsa. Det kan innebära att uppgifterna hanteras i slutna system där bara de som behöver uppgifterna har tillgång till dem. Ni ska undvika att skicka löneunderlag och liknande dokument via e-post om det inte är krypterat. Tänk på att ni i uppdragsavtalet eller i ett tilläggsavtal ska ha med särskilda punkter enligt GDPR om ni är personuppgiftsbiträde.
Svar: GDPR gör ingen skillnad på om förvaringen sker i bostaden eller i någon lokal utan du ska vidta lämpliga säkerhetsåtgärder.
Svar: Ett namn kan vara en personuppgift om det är så unikt att det går att identifiera personen ifråga.
Svar: Ditt företag ska som personuppgiftsansvarig ha bestämt när personuppgifterna ska rensas.
Svar: Ja, om det går att identifiera person C.
Svar: Även B2B företag berörs av GDPR eftersom man hanterar personuppgifter om exempelvis anställda och kontaktpersoner hos kunder och leverantörer.
Svar: Ja, GDPR kommer att på verka alla verksamheter på något sätt även om vissa delar inte ska tillämpas för att den kompletterande lagstiftningen har undantag.
Svar: Nej, ditt företag kan ha annan grund för laglig behandling. Kom ihåg att dokumentera det och att du inte får använda personuppgifter för ändamål som är oförenliga med ändamålet som de samlades in för.
Svar: Ja, det är tillåtet att skicka direktreklam om reglerna i GDPR följs. De registrerade har dock rätt att invända mot direktmarknadsföring. Om ditt företag fått ett samtycke till att behandla personuppgifterna så ska det vara lika lätt att ta tillbaka samtycket som att lämna samtycket.
Svar: Det gäller bara personuppgifter, ditt företag kan ha kvar uppgifter om till exempel juridiska personer under längre tid än du kan ha uppgifter om kontaktpersonerna på företaget.
Svar: Ja, om uppgifterna kan kopplas till chauffören som är en levande fysisk person.