GDPR i praktiken för verksamhetsutövare

Här har vi samlat frågor och svar om GDPR i praktiken för verksamhetsutövare.

Omfattas mitt kundklubbsregister av den nya lagstiftningen?

Svar: Ja, om det innehåller personuppgifter.


Hur hanterar man kundrecensioner om man har en webbshop?

Svar: Du ska ha bevakning av vad som skrivs och se till att din webshops kundrecensioner inte används på ett otillåtet sätt till exempel genom att publicera personuppgifter på ett sätt som strider mot GDPR. Det innebär att du måste ha uppsikt över, och ibland ta bort, vissa recensioner.


Vem hos kunden får begära ett kunddatautdrag och ska den personen/personerna vara specificerade i kundavtalet?

Svar: Rättigheterna i GDPR att till exempel få tillgång till uppgifter gäller för en fysisk person, det vill säga den fysiska person som uppgifterna kan knytas till, oavsett vem som är kunden. Om kunden är en juridisk person, exempelvis ett företag, behöver ni därför i avtalet reglera hur kunden ska få tillgång till uppgifter.

Fysiska personer som är kunder har även i vissa fall rätt till så kallad dataportabilitet. Dataportabilitet innebär att kunden har rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta.


Bör vårt företag som har till kärnverksamhet att hantera kunders redovisning och bokslut för såväl företags som privata kunders räkning ha både ett personuppgiftsbiträde och ett dataskyddsombud?

Svar: Ja, ert företag är ett personuppgiftsbiträde när det hanterar personuppgifter för en personuppgiftsansvarigs räkning. Ett företag som har till kärnverksamhet att hantera kunders redovisning och bokslut, är allt som oftast ett personuppgiftsbiträde åt sin kund, som i sin tur är personuppgiftsansvarig.

Om företaget behöver ha ett dataskyddsombud beror på om kärnverksamheten består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Detta innebär att övervakning sker ständigt eller återkommande enligt plan eller system. Det kan till exempel göras genom positionsspårning i mobilappar, lojalitetsprogram och övervakningskameror.

Företaget behöver också dataskyddsombud om kärnverksamheten i stor omfattning består av behandling av känsliga personuppgifter (särskilda kategorier av personuppgifter) och personuppgifter som rör fällande domar i brottmål och vissa överträdelser. Vad som menas med stor omfattning går inte att säga exakt utan bedömningen måste göras utifrån hur många som är registrerade, hur många uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.


Hur hanterar vi våra idag befintliga distributionslistor för nyhetsbrev eller andra utskick? Det handlar om Excel-listor som innehåller personnamn, företagsnamn, ort, typ av aktör och e-postadress. Måste alla dessa personer tillfrågas innan ett nyhetsbrev går ut efter att GDPR trätt i kraft eller vad är det som gäller?

Svar: Nej, de behöver inte tillfrågas innan utskick av nyhetsbrev men lagringen av uppgifterna och utskicket är exempel på behandling av personuppgifter. Ditt företag ska därför se till att lagring och utskick följer de grundläggande reglerna om:

  • laglig, korrekt och öppen behandling
  • ändamålsbegränsning
  • uppgiftsminimering
  • lagringsminimering
  • korrekthet
  • integritet och konfidentialitet

Ditt företag ska kunna visa att det följer dessa principer för behandling av personuppgifter. Ni har enligt den tidigare lagstiftningen lämnat information till de registrerade men det kan vara lämpligt att ha en kortfattad information som är uppdaterad med hänsyn till att GDPR börjat tillämpas.

Ditt företag bör också se till att nyhetsbrevet innehåller information om hur mottagarna ska kunna avregistrera sig om de motsätter sig att deras personuppgifter används för direktmarknadsföring.


Får företag inte bygga upp kontaktlistor på kunder/leverantörer/nyckelkontakter för nyhetsbrev, sporadiska nyhetsutskick, julhälsningar etc.?

Svar: Jo, det går bra att bygga upp kontaktlistor. Men de grundläggande reglerna måste följas och de personer vars uppgifter registreras ska informeras. Vilken information du ska lämna vid insamling av personuppgifter kan du läsa mer om här.


Hur ska jag hantera mitt kundregister som skapas via ordrar i min webshop som jag byggt upp fram till och med den 24 maj 2018?

Svar: Du bör se över ditt företags kundregister så att det uppfyller de grundläggande villkoren i GDPR om laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering, lagringsminimering, integritet och konfidentialitet. Det kan innebära att ditt företag till exempel måste ta bort vissa uppgifter som är onödiga eller har lagrats för länge. Men det kan också innebära att ditt företag måste se över säkerheten gällande exempelvis vem som får läsa eller använda uppgifterna.


Vi har en internetbutik men har inget eget kundregister eller IT-stöd för verksamheten utan nyttjar en tjänst i ”molnet” som tillhandahåller en virtuell butik med tillhörande logistiktjänster. Den sköter all digital kundkontakt och är kopplad till betalningstjänster som Klarna och Paypal. Vi har frågat tjänsteleverantören om de kommer att leva upp till kraven enligt GDPR och fått svaret att det kommer de att göra och att vi inte behöver bekymra oss eller vidta några egna åtgärder. Är det här tillräckligt för att vi fortfarande ska vara laglydiga efter den 25 maj?

Svar: Du bör följa upp och spara svaren som du får från leverantörerna så att du har dokumentation på hur de exempelvis följer reglerna om hantering av personuppgifter utanför EU/EES. Detta så att du kan vidta åtgärder och lämna rätt information till de registrerade.

Läs igenom de avtal ni har med leverantören för att se så att personuppgiftshanteringen verkligen är reglerad och att ni förstår flödet av personuppgifter. Om ni inte har någon digital kundkontakt kan det vara så att det är leverantören av den virtuella butiken som de facto är den personuppgiftsansvarige. Men detta måste ni utreda närmare, så att det sen inte visar sig att det egentligen är ert företag som är den personuppgiftsansvarige.


Vad gäller mellan den 25 maj och tidpunkten för när den svenska kompletterande lagstiftningen blir klar?

Svar: Under denna tid gäller GDPR redan som svensk lag. Lagrådet har yttrade sig den 30 januari 2018 om vissa av förslagen och man kan räkna med att propositioner till riksdagen kommer att läggas under våren 2018. Förhoppningen är att riksdagen hinner besluta om ny dataskyddslag innan den 25 maj 2018 så att den kan träda i kraft samtidigt.


Bokföringslagen som säger att jag ska spara bokföring på papper och digitalt i sju år, står den över GDPR?

Svar: Nej, GDPR är en EU-förordning och gäller före svensk nationell rätt. Men GDPR ger möjlighet att lagra uppgifter som det krävs i unionsrätten eller i nationell rätt, till exempel den svenska bokföringslagen.


Hur får dessa dokument som exempelvis löneunderlag, lönespecifikationer och andra underlag inför lönekörningar förmedlas mellan avdelningar/bolag efter 25 maj 2018? Får man skicka dessa via e-post eller ska de krypteras? Det finns uppdragsavtal mellan företaget och oss som lönekonsulter.

Svar: De ska förmedlas med respekt för att de innehåller uppgifter som de anställda förmodligen inte vill att vem som helst ska kunna läsa. Det kan innebära att uppgifterna hanteras i slutna system där bara de som behöver uppgifterna har tillgång till dem. Ni ska undvika att skicka löneunderlag och liknande dokument via e-post om det inte är krypterat. Tänk på att ni i uppdragsavtalet eller i ett tilläggsavtal ska ha med särskilda punkter enligt GDPR om ni är personuppgiftsbiträde.


Om man har redovisningsbyråns kontor i bostaden, hur ser kraven då ut? Är det samma krav på inlåsning av underlag eller räcker det att man förvarar underlagen på kontoret i ett skåp? Gäller detta även om kunder inte har tillträde till kontoret?

Svar: GDPR gör ingen skillnad på om förvaringen sker i bostaden eller i någon lokal utan du ska vidta lämpliga säkerhetsåtgärder.


Som underleverantör får jag av min kund en önskad godsmärkning på sändningen, ofta är märkningen ett namn. Jag har ingen ytterligare information som telefonnummer eller adress utan varan skall skickas till min kund. Är detta namn då en personuppgift i lagens mening? Om nej, kan svaret påverkas av hur unikt namnet är?

Svar: Ett namn kan vara en personuppgift om det är så unikt att det går att identifiera personen ifråga.


Ska uppgifter rensas bort på eget initiativ eller räcker det att jag har rutiner så att det kan ske när någon begär det?

Svar: Ditt företag ska som personuppgiftsansvarig ha bestämt när personuppgifterna ska rensas.


Person A i företag X skriver ett e-postmeddelande till person B vid företag Y och i den löpande texten hänvisar man till person C som kan besvara eventuella frågor på telefonnummer eller e-post som anges. Är uppgifterna om person C personuppgifter enligt lagens mening?

Svar: Ja, om det går att identifiera person C.


Hur påverkar GDPR specifikt B2B företag? Berörs vi överhuvudtaget? Vi hanterar bara företagsägda telefoner och e-postadresser och inte några privata.

Svar: Även B2B företag berörs av GDPR eftersom man hanterar personuppgifter om exempelvis anställda och kontaktpersoner hos kunder och leverantörer.


Kommer de nya reglerna påverka de rutiner och regler vi har inom tandvården? Vi har ju redan nu journallagen etc.

Svar: Ja, GDPR kommer att på verka alla verksamheter på något sätt även om vissa delar inte ska tillämpas för att den kompletterande lagstiftningen har undantag.


Krävs det ett samtycke för kunder som tagit en offert ska kunna bearbetas via en påminnelse av typen ”du har tagit en offert är du fortfarande intresserad”?

Svar: Nej, ditt företag kan ha annan grund för laglig behandling. Kom ihåg att dokumentera det och att du inte får använda personuppgifter för ändamål som är oförenliga med ändamålet som de samlades in för.


Kan man fortfarande skicka direktreklam om kunden ger sitt samtycke?

Svar: Ja, det är tillåtet att skicka direktreklam om reglerna i GDPR följs. De registrerade har dock rätt att invända mot direktmarknadsföring. Om ditt företag fått ett samtycke till att behandla personuppgifterna så ska det vara lika lätt att ta tillbaka samtycket som att lämna samtycket.


Gäller detta bara ”privata uppgifter” eller gäller det även företagsuppgifter?

Svar: Det gäller bara personuppgifter, ditt företag kan ha kvar uppgifter om till exempel juridiska personer under längre tid än du kan ha uppgifter om kontaktpersonerna på företaget.


Räknas information om en trailer, till exempel registreringsnummer och telefonnummer till chauffören, som personuppgifter?

Svar: Ja, om uppgifterna kan kopplas till chauffören som är en levande fysisk person.