För att funktionen du försöker använda ska fungera korrekt behöver du uppdatera ditt samtycke. Du kan alltid ändra dig genom att klicka på Cookieinställningar i sidfoten.

podcast news play företagaren I media förmån faq

Varför behövs en personuppgiftsansvarig i företaget enligt GDPR?

Hur du som företagare hanterar personuppgifter har blivit extra viktigt sedan GDPR trädde i kraft. Men vad ska företagare egentligen tänka på? Företagarnas jurist Karin Berggren reder ut vanliga missförstånd och ger här sina bästa tips.
Se till att alla på företaget har grundläggande kunskaper i GDPR och har ändamål med behandlingarna av personuppgifter.

Gränsdragningen mellan att vara personuppgiftsansvarig och personuppgiftsbiträde är svår och det är något Företagarnas medlemmar ofta frågar om när de kontaktar Företagarnas juridiska rådgivning.

Personuppgiftsansvarig är företaget. I slutändan är det bolagets styrelse som har ansvar för att reglerna följs i företaget men samtliga anställda ska vara lojala och hantera personuppgifter på rätt sätt.

Personuppgiftsbiträde är när företaget behandlar andra personuppgiftsansvarigas uppgifter enligt deras instruktioner och ändamål utan att ha eget syfte exempelvis om företaget är en underleverantör till ett annat företag. Det ska alltid finnas ett personuppgiftsbiträdesavtal – ett eget avtal eller en bilaga till ett uppdragsavtal eller samarbetsavtal.

Lyssna på  Juristerna svarar 26: Hur fungerar GDPR för företagare? 

Ibland samarbetar man på ett sådant sätt att bägge företagen är personuppgiftsansvariga för att bägge företagen bearbetar uppgifterna för sina egna ändamål. Då räknas det som ett utlämnade av personuppgifter från den ena företaget till det andra. Se då till att de som registreras är informerade.

Underkonsult, sekretessavtal och dataskyddsombud

Om du anlitar en underkonsult som arbetar i förtagets system – då kan det räcka med ett vanligt sekretessavtal eftersom underkonsulten inte är så fristående att hen blir personuppgiftsansvarig eller personuppgiftsbiträde.

Vissa företag ska ha ett dataskyddsombud, detta gäller myndigheter, de som i sin kärnverksamhet har systematisk övervakning i stor omfattning och de som hanterar stora mängder känsliga uppgifter såsom fackföreningar, vårdbolag och försäkringsbolag.

Integritetsskyddsmyndighetens uppgift är att vara stödjande så att företaget följer GDPR och ska se till att det görs konsekvensbedömningar med mera. De ska kunna regelverket och de tekniska system där uppgifterna finns sparade.

Expertens viktigaste tips för att hantera personuppgifter:

  1. Tänk på hur du behandlar uppgifterna. Skapa ett register över behandlingarna, där det för varje sorts behandling ska framgå ändamålet, vilka som kan bli registrerade och vilka kategorier av uppgifter som gäller, till vem uppgifterna lämnas ut, om det sker överföringar till länder utanför EU/EES, när uppgifterna kommer raderas samt en beskrivning av säkerhetsåtgärderna. 
  1. Informera alla medarbetare och se till att de har grundläggande kunskaper om GDPR.

  2. Se till att de registrerade får tillräcklig information om företagets hantering av personuppgifterna, läs i vår juridiska FAQ om vilken information som ska lämnas .
  1. Se över avtal där personuppgifter kan vara inblandade så att de fungerar med GPDR.
  2. Förbered så att företaget kan hantera när de registrerade tar till vara på sina rättigheter till information, radering och dataportabilitet – i vissa fall har man rätt att få sina uppgifter överförda.
  1. Ha en rutin för att hantera incidenter, som till exempel om en obehörig kommer åt uppgifterna. Det kan behöva rapporteras till Integritetsskyddsmyndigheten (IMY).

Med en enkel checklista kan du se till att du har bra skydd för personuppgifterna som hanteras i företaget och skydda integriteten för kunder, anställda med flera. Se till att alla på företaget har grundläggande kunskaper i GDPR och har ändamål med behandlingarna av personuppgifter. Dessutom ska företaget ha tillräcklig säkerhet, ha rättslig grund för laglig behandling av personuppgifter och säkerställa att behandlingarna uppfyller de grundläggande principerna och att det finns dokumenterat.

- Ditt företag får inte lagra uppgifterna längre än ni kan motivera. Informera personalen löpande istället för att gömma det i en policy som lätt kan ignoreras och tänk på att både tekniken och tolkningarna av GDPR utvecklas. Arbetet med att verksamheten ska följa GDPR tar inte slut utan fortsätter löpande , förklarar Karin Berggren.

Läs även: Hur ska jag tänka vid behandling av känsliga personuppgifter enligt GDPR? 

Du ska alltid vara aktiv själv i arbetet med att dokumentera behandlingarna och ta fram information till de registrerade för du måste förstå verksamheten för att veta vad som är lämpligt och ändamålet med uppgifterna. En utomstående har inte lika god kännedom om vilka uppgifter som behövs och de skäl som finns. Ta gärna in jurist eller annan som konsult för att sätta upp rutiner och formuleringar.

Ta hjälp av en expert

Ringa gärna Företagarnas rådgivning och diskutera GDPR med våra jurister, upprätta avtal och gå igenom formuleringar och instruktioner gällande personuppgiftshantering.

Taggar
Riks Artikel
Räkna ut kostnaden för ditt medlemskap

Medlemskapet ger dig rabatter, rådgivning och nätverk.