headphones newspaper video-player

Varför behövs en personuppgiftsansvarig i företaget enligt GDPR?

16 apr 2019
Hur du som företagare hanterar personuppgifter har blivit extra viktigt sedan GDPR trädde i kraft. Men vad ska företagare egentligen tänka på? Företagarnas jurist Karin Berggren reder ut vanliga missförstånd och ger här sina bästa tips.

- Personuppgiftsansvarig är företaget. I slutändan är det bolagets styrelse som har ansvar för att reglerna följs i företaget men samtliga anställda ska vara lojala och hantera personuppgifter på rätt sätt.

Gränsdragningen mellan att vara personuppgiftsansvarig och personuppgiftsbiträde är svår och det är något Företagarnas medlemmar ofta frågar om när de kontaktar Företagarnas juridiska rådgivning.

Personuppgiftsbiträde är när företaget behandlar andra personuppgiftsansvarigas uppgifter enligt deras instruktioner och ändamål utan att ha eget syfte exempelvis om företaget är en underleverantör till ett annat företag. Det ska alltid finnas ett personuppgiftsbiträdesavtal – ett eget avtal eller en bilaga till ett uppdragsavtal eller samarbetsavtal.

Ibland samarbetar man på ett sådant sätt att bägge företagen är personuppgiftsansvariga för att bägge företagen bearbetar uppgifterna för sina egna ändamål. Då räknas det som ett utlämnade av personuppgifter från den ena företaget till det andra. Se då till att de som registreras är informerade.

Om du anlitar en underkonsult som arbetar i förtagets system – då kan det räcka med ett vanligt sekretessavtal eftersom underkonsulten inte är så fristående att hen blir personuppgiftsansvarig eller personuppgiftsbiträde. Vissa företag ska ha ett dataskyddsombud, detta gäller myndigheter, de som i sin kärnverksamhet har systematisk övervakning i stor omfattning och de som hanterar stora mängder känsliga uppgifter såsom fackföreningar, vårdbolag och försäkringsbolag. Dataskyddsombudets uppgift är att vara stödjande så att företaget följer GDPR och ska se till att det görs konsekvensbedömningar med mera. De ska kunna regelverket och de tekniska system där uppgifterna finns sparade.

Expertens viktigaste tips för att hantera personuppgifter:

  1. Tänk på hur du behandlar uppgifterna. Skapa ett register över behandlingarna, där det för varje sorts behandling ska framgå ändamålet, vilka som kan bli registrerade och vilka kategorier av uppgifter som gäller, till vem uppgifterna lämnas ut, om det sker överföringar till länder utanför EU/EES, när uppgifterna kommer raderas samt en beskrivning av säkerhetsåtgärderna.
  1. Informera alla medarbetare och se till att de har grundläggande kunskaper om GDPR.

  2. Se till att de registrerade får tillräcklig information om företagets hantering av personuppgifterna, läs mer om vilken information som ska lämnas här.
  1. Se över avtal där personuppgifter kan vara inblandade så att de fungerar med GPDR.

  2. Förbered så att företaget kan hantera när de registrerade tar till vara på sina rättigheter till information, radering och dataportabilitet – i vissa fall har man rätt att få sina uppgifter överförda.
  1. Ha en rutin för att hantera incidenter, som till exempel om en obehörig kommer åt uppgifterna. Det kan behöva rapporteras till Datainspektionen.

Med en enkel checklista kan du se till att du har bra skydd för personuppgifterna som hanteras i företaget och skydda integriteten för kunder, anställda med flera. Se till att alla på företaget har grundläggande kunskaper i GDPR och har ändamål med behandlingarna av personuppgifter. Dessutom ska företaget ha tillräcklig säkerhet, ha rättslig grund för laglig behandling av personuppgifter och säkerställa att behandlingarna uppfyller de grundläggande principerna och att det finns dokumenterat.

- Ditt företag får inte lagra uppgifterna längre än ni kan motivera. Informera personalen löpande istället för att gömma det i en policy som lätt kan ignoreras och tänk på att både tekniken och tolkningarna av GDPR utvecklas. Arbetet med att verksamheten ska följa GDPR tar inte slut utan fortsätter löpande , förklarar Karin Berggren.

Du ska alltid vara aktiv själv i arbetet med att dokumentera behandlingarna och ta fram information till de registrerade för du måste förstå verksamheten för att veta vad som är lämpligt och ändamålet med uppgifterna. En utomstående har inte lika god kännedom om vilka uppgifter som behövs och de skäl som finns. Ta gärna in jurist eller annan som konsult för att sätta upp rutiner och formuleringar.

Ta hjälp av en expert!

Ringa gärna Företagarnas rådgivning och diskutera GDPR med våra jurister, upprätta avtal och gå igenom formuleringar och instruktioner gällande personuppgiftshantering.

Räkna ut kostnaden för ditt medlemskap
VÄLJ MEDLEMSKAP, ANGE POSTNUMMER OCH ANTAL ANSTÄLLDA OCH SE ÅRSKOSTNAD