Annons

Här är frågorna svenska företagare ställer om GDPR

Nya dataskyddslagen GDPR har snart varit i kraft i en månad.
Nya dataskyddslagen GDPR har snart varit i kraft i en månad. Foto: TT
GDPR är ett huvudbry för många och nu väller frågorna in till Datainspektionen. Myndigheten listar områdena där du som företagare inte vill trampa snett.
Facebook
Twitter
LinkedIn
E-post
Öka textstorlek

Sedan den 25 maj i år lyder bolag och myndigheter under EU:s nya dataskyddslag, GDPR. Som Di Digital tidigare rapporterat, inledde Datainspektionen nyligen de första granskningarna av hur bolagen möter de nya skyldigheterna – en möjlig orsak till att frågorna till myndigheter forsätter att rulla in i stora volymer.

”Vi för ingen statisk över vad samtalen handlar om, med det jag kan säga är att inflödet har ökat de senaste månaderna. Sedan GDPR infördes har frågorna blivit mer specifika”, säger Camilla Sparr, jurist på Datainspektionen med ansvar för myndighetens upplysningstjänst.

Efter snart fyra veckor med de nya GDPR-bestämmelserna har Datainspektionen fått in hundratals anmälningar om personuppgiftsincidenter

Läs mer: Datainspektionen inleder första GDPR-kontrollerna – de ska granskas 

Enligt den nya lagstiftningen måste myndigheter utse ett dataskyddsombud, men detta kan bli aktuellt även för privata bolag i de fall insamling och nyttjande av personuppgifter ingår i deras kärnverksamhet. Enligt Camilla Sparr är frågor som rör just dataskyddsombud, några av de vanligaste sedan lagen trädde i kraft.

”En annan vanlig fråga är vem som är personuppgiftsansvarig och vem som är biträde, om det är en biträde-situation. Måste man upprätta biträdesavtal när man nu lämnar ut uppgifter om sina anställda till Skatteverket till exempel?”, säger hon.

Läs mer: GDPR-anmälningarna flödar in – då ska du slå larm 

Di Digital listar företagarnas vanligaste GDPR-frågor och juristen Camilla Sparrs svar.

1. Behöver mitt företag utse ett dataskyddsombud?

”I vissa fall måste man utse dataskyddsombud, exempelvis om man är en myndighet eller om man har som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda eller har som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning. Typiska exempel på verksamheter som behöver utse ett dataskyddsombud är banker, sjukhus, försäkringsbolag och kollektivtrafik”.

2. Vem är personuppgiftsansvarig på mitt bolag?

”Personuppgiftsansvarig är den juridiska personen – företaget/myndigheten/föreningen, som bestämmer för vilka ändamål personuppgifterna ska behandlas och hur detta ska gå till. Det är exempelvis inte en enskild anställd på företaget, vilket är ett vanligt missförstånd. Den personuppgiftsansvarige anlitar ibland ett personuppgiftsbiträde – någon som behandlar personuppgifterna för den personuppgiftsansvariges räkning”.

 3. När behöver mitt företag upprätta ett biträdesavtal?

”Om man anlitar ett personuppgiftsbiträde (exempelvis en underleverantör för hantering av personuppgifter reds.anm.) måste man skriva ett personuppgiftsbiträdesavtal. I avtalet ska det bland annat framgå att biträdet bara får behandla personuppgifterna efter instruktioner från den personuppgiftsansvarige”.

4. När behöver jag inhämta samtycke för att behandla personuppgifter?

”När man behandlar personuppgifter måste man bland annat se till att ha en rättslig grund för behandlingen (artikel 6). Det finns sex olika rättsliga grunder, varav samtycke är en. Viktigt att understryka är att det alltså finns andra alternativ än samtycke som många gånger är lämpligare att stödja sin personuppgiftsbehandling på. Exempelvis är det förmodligen nödvändigt att ha uppgifter om sina kunder för att man ska kunna fullgöra avtalet med kunden, man behöver i sådana fall inte inhämta samtycke”.

 5. Hur mycket kan jag tvingas böta?

”Risken för omfattande sanktionsavgifter är en uppmärksammad nyhet. Viktigt att belysa i sammanhanget är att sanktionsavgiften ska vara proportionerlig, det finns därför en rad faktorer Datainspektionen ska ta hänsyn till vid bestämmande av nivå på sanktionsavgifterna i de fall en sanktionsavgift blir aktuell”.

 6. Gäller GDPR även då jag samlar in information om företagskunder?

”GDPR gäller endast vid behandling av personuppgifter och inte uppgifter om företagskunder. Men det finns undantag. Om man har uppgifter om enskilda firmor eller uppgifter om kontaktpersoner på företaget i fråga kan denna information kopplas till enskilda individer och GDPR gäller därför i dessa fall. Det gör att GDPR som regel blir aktuell även för verksamheter som bara har företagskunder”.

Facebook
Twitter
LinkedIn
E-post
Vi har förtydligat vår personuppgiftspolicy. Läs mer om hur vi hanterar personuppgifter och cookies