Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

En introduktion till GDPR

Publicerad: 2024-11-07

Senast ändrad: 2024-11-11

Alla företag hanterar personuppgifter på ett eller annat vis, och påverkas därför av dataskyddsförordningen GDPR. Det gäller oavsett storlek på företaget. I den här guiden förklarar vi GDPR närmare och ger tips på hur du kan få kostnadsfri vägledning genom Integritetsskyddsmyndigheten, IMY.

Reglerar hantering av personuppgifter

2018 ersattes den svenska personuppgiftslagen (Pul) med den europeiska dataskyddsförordningen GDPR (General Data ProtectionRegulation). Därmed fick företag i hela EU gemensamma och tydliga bestämmelser för hur de får hantera personuppgifter.

GDPR tillkom i en tid då många företag samlade in så många personuppgifter som de kunde, eftersom datan kanske kunde bli användbar i framtiden.

Med dataskyddsförordningen sattes det stopp för sådan massdatainsamling, och därtill höga sanktionsavgifter vid överträdelser. Företag som bryter mot GDPR kan få betala upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen, beroende på vilket belopp som blir högst.

Företag får hantera personuppgifter

Ett av GDPR:s huvudsyften är att företagen ska minimera mängden personuppgifter som de behandlar. Ju färre personuppgifter som behandlas, desto färre personuppgifter kan företagen råka läcka.

Det bästa skyddet mot att läcka data är att aldrig spara datan från första början. GDPR föreskriver därför lagringsminimering. Företag ska inte samla in fler personuppgifter än nödvändigt, och företag ska radera insamlade personuppgifter när uppgifterna inte längre behövs.

För att ett företag ska få samla in en personuppgift måste ändamålet vara berättigat. Det måste finnas en rättslig grund som tillåter insamlingen och det måste finnas ett klart ändamål. Detta gäller alla personuppgifter som kan kopplas till en levande person. Uppgifter som i kombination med andra uppgifter kan knytas till en levande person räknas också dit.

Det innebär att exempelvis namn, personnummer, ip-adresser och postadresser klassas som personuppgifter. Mejladresser och telefonnummer klassas också som personuppgifter om de går till specifika personer och inte till företagets kundtjänst eller dylikt.

Personuppgifter förekommer i många sammanhang. Fotografier på personer innehåller personuppgifter. Det gör även de flesta mejl som företaget skickar eller tar emot. Därmed påverkas alla företag av GDPR. 

IMY guidar svenska företag

Den som driver ett företag måste veta hur GDPR påverkar den egna verksamheten. För att få hjälp med detta erbjuder IMY (Integritetsskyddsmyndigheten) en kostnadsfri och webbaserad introduktionskurs om GDPR .

Webbkursen består av fem videoklipp.

  • GDPR:s syfte och tillämpningsområde
  • Grundläggande begrepp i GDPR
  • De grundläggande principerna i GDPR
  • Den registrerades rättigheter enligt GDPR
  • Rättsliga grunder i GDPR

Videoklippen är cirka tio minuter långa och har tillhörande kontrollfrågor. Hela kursen kan genomföras på bara en timme.

IMY är Sveriges tillsynsmyndighet för GDPR och informationen kommer därmed direkt från myndigheten som också ansvarar för tillsynsärenden i frågan. 

Ett urval av tidigare GDPR-tillsynsärenden finns på myndighetens webbplats. Besluten ger insyn i hur den svenska tillsynsmyndigheten resonerar i GDPR-frågor, till exempel synen på användning av spårningskod på webbplatser, hantering av mejl och överföring av personuppgifter till andra länder.

IMY erbjuder även telefonvägledning som svarar på generella frågor om GDPR. De vanligaste frågorna är redan besvarade i IMY:s frågebank .

Sammanfattning

  • Alla uppgifter som kan knytas till en levande person är personuppgifter.
  • Alla företag som hanterar personuppgifter (i praktiken alla företag) måste följa GDPR. Det finns inget undantag för småföretag.
  • IMY (Integritetsskyddsmyndigheten) är Sveriges tillsynsmyndighet. De erbjuder en kostnadsfri webbkurs som går igenom vad företaget måste känna till för att kunna följa GDPR.