GDPR
GDPR gäller som huvudregler alla organisationer som behandlar personuppgifter inom EU.
Vad är då en personuppgift?
Jo, personuppgifter är all information som identifierar en fysisk person, exempel på personuppgifter är namn och mejladress. De flesta företag behandlar personuppgifter i den dagliga verksamheten, detta kan ske genom att man har mejllistor på kontaktpersoner eller genom att man har sparat personuppgifter till anställda. Om man riktar sin tjänst eller produkt till privatpersoner, brukar det innebära att man behandlar personuppgifter i flera led, kanske för marknadsföring, försäljning eller för att kunna hantera reklamationer. Olika aktörer, beroende på bland annat bransch, mängden personuppgifter som behandlas och företagsstorlek behöver arbeta med GDPR på olika sätt.
Vad reglerar GDPR?
GDPR reglerar när det är tillåtet och inte tillåtet att behandla personuppgifter, reglerna i GDPR har som syfte att skydda personers integritet. GDPR ålägger verksamheter olika krav, ett viktigt krav som GDPR ställer upp är att man måste på förhand ha bestämt syftet med behandlingen. Varför behöver ni behandla personuppgiften? Behöver ni behandla personuppgifter i syfte att kunna sälja er produkt/tjänst? Eller behöver ni behandla personuppgiften för att det krävs för att ni ska uppfylla kraven i en lag? Kort och gott ska det finnas ett tydligt ändamål med personuppgiftsbehandlingen. Efter att man har bestämt ändamålet så får man säkerställa att ändamålet faller in i en av de grunderna för vilket GDPR tillåter personuppgiftsbehandling. Det finns olika krav på att man måste dokumentera hur man har tänkt i dessa frågor, och så finns det också krav på att man ska ge information till de som personuppgifterna tillhör. Det är det här som man brukar skriva i en så kallad integritetspolicy.
Ett annat krav i GDPR är att ni måste kunna säkerställa att de personuppgifter som ni har är i säkert förvar, både i en fysisk och digital miljö. Beroende på vilken verksamhet ni är i, vad ni har för kunder och hur stort ert företag är, så behöver ni jobba med dataskyddsfrågor på olika sätt. För att uppfylla kravet på dataskydd behöver man bland annat ha rutiner för hur länge man sparar personuppgifter och vilka som ska ha tillgång till dem. Vidare så måste man ha en adekvat säkerhet så att personuppgifter inte läcker ut.