headphones newspaper video-player

47 vanliga frågor om GDPR

2 feb 2018
Under Företagarnas live-sändning om GDPR skickade företagare in hundratals frågor, långt fler än vad som var möjligt att besvara live. Här har vi samlat upp och besvarat ett stort antal av frågorna.

Frågorna har besvarats av företagarnas jurister under översyn av chefsjurist Karin Berggren. Livesändningen om GDPR kan du se i efterhand här.

Fråga: Omfattas mitt kundklubbsregister av den nya lagstiftningen?

Svar Ja, om det innehåller personuppgifter.

Fråga: Är GDPR tillämplig vid t ex tävlingar i butik där kunder lämnar ett mobilnummer eller en e-postadress för att kunna bli kontaktade efteråt?

Svar: Ja oftast. GDPR är tillämplig om mobilnumret eller e-postadressen kan knytas till en fysisk person och därför är en personuppgift, samt om uppgifterna behandlas automatiskt (t.ex. i en Excel fil) eller på annat sätt (t.ex. papper) i ett register.

Fråga: Hur får jag (och av vem) mer detaljerad hjälp för just mitt företag? Finns det kunskap i t.ex. min branschorganisation?

Svar: Ja, kontakta din branschorganisation eftersom i just din bransch kan det vara så att ni t.ex. hanterar så kallade känsliga personuppgifter (särskilda kategorier av personuppgifter som det är extra stränga regler för hur du får behandla m.m.). Ditt företag kan därför behöva ha särskilda rutiner. Du hittar även viss information hos tillsynsmyndigheten Datainspektionen. Det kommer också att finnas information riktad till småföretag på www.verksamt.se. Även Företagarna har material om GDPR på sin hemsida.

Fråga: Omfattas kontokorts/Swish-betalningar av GDPR? I så fall, vem är ansvarig för personuppgiftshanteringen, jag eller kortutgivaren/banken?

Svar: Ja, betalningar med t.ex. kontokort och Swish omfattas av reglerna om hantering av personuppgifter när uppgifterna i, och i samband med, betalningen kan knytas till en fysisk person. Beroende på vad ni har för betallösning så kan ansvaret fördelas olika mellan dig och din leverantör av betallösningar.

I vissa fall, där du som företagare inte får tillgång till själva betaluppgifterna, t.ex. kontokortsnummer, är ditt företag personuppgiftsansvarig för hanteringen av personuppgifterna i samband med betalningen till ditt företag, och kontoutgivare/banken personuppgiftsansvarig för behandlingen av kontokortsnumret. Hör med din leverantör av betallösningar om hur just er betalningslösning tar hänsyn till GDPR.

Fråga: Hur hanterar man kundrecensioner om man har en webbshop?

Svar: Du ska ha bevakning av vad som skrivs och även då se till att inte din webbshops kundrecensioner används på ett otillåtet sätt t.ex. genom att publicera personuppgifter på ett sätt som strider mot GDPR. Det kan t.ex. innebära att du tvingas ha uppsikt över och ta bort vissa recensioner.

Fråga: Då Skatteverket kräver att företag skall spara bokföring i 7 år måste/kan jag väl även kräva att spara personuppgifter på betalande kunder i 7 år, plus räkenskapsårets utgång, efter sista försäljningen?

Svar: Ditt företag som personuppgiftsansvarig ska ta ställning till hur länge uppgifterna behövs. Finns personuppgifterna i en verifikation ska ni följa bokföringslagens regler om arkivering och har då en rättslig förpliktelse att spara så länge som du nämner. Har ni därefter inte behov av att spara uppgifterna längre, d.v.s. inte längre har något ändamål alternativt rättslig grund för laglig behandlingen ska ni radera personuppgifterna.

Fråga: I våra köpevillkor har vi skrivet: Vi skyddar dina personuppgifter och din personliga integritet i enlighet med Personuppgiftslagen (1998:204). Hur påverkas/ska detta ändras i med anledning av GDPR?

Svar: När GDPR börjar tillämpas bör ditt företag ha uppdaterat sin information och hänvisa till GDPR istället för personuppgiftslagen. Ditt företag ska i samband med att ni samlar in eller tar emot nya personuppgifter lämna information till den registrerade, vilket ni i viss utsträckning ska göra redan enligt nu gällande lagstiftning. Du kan läsa mer om vilken information som ska lämnas här. 

Om däremot registrerade redan har fått informationen behöver ditt företag inte lämna den igen, varken när du samlar in uppgifterna igen eller vid ändring av syftet med behandlingen av uppgifterna utan bara ev. annan infromation.

Fråga: Vad anses vara adekvata rutiner avseende back-up och redundans? Är en daglig back up på kunddata alternativt ett skriftligt kundregister/data en adekvat backup eller skall även detta vara en fungerande alternativ IT- process? I en händelse av en driftstörning är det svårt att på kundens begäran lämna ut utdrag.

Svar: Det är svårt att ge ett svar generellt vad som krävs för rutiner för back-up m.m. Ditt företag måste utgå från sina förutsättningar och verksamhet.

När det gäller rätten att få tillgång till sina uppgifter gäller att ditt företag ska lämna dem utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Förhoppningsvis varar inte driftsstörningen så länge.

Om ditt företag inte kommer kunna ge tillgång till uppgifterna ska företaget utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Datainspektionen och begära rättslig prövning.

Fråga: Vem hos kunden får begära ett kunddata-utdrag och skall den rollen/personen/personerna vara specificerade i kundavtalet?

Svar: Rättigheterna i GDPR att t.ex. få tillgång till uppgifter gäller för en fysisk person, d.v.s. den fysiska person som uppgifterna kan knytas till, oavsett vem som är kunden. Om kunden är en juridisk person t.ex. ett företag behöver ni därför i avtalet reglera hur kunden ska få tillgång till uppgifter.

Fysiska personer som är kunder har även i vissa fall rätt till s.k. dataportabilitet. Dataportabilitet innebär att kunden har rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta.

Fråga: Vi bedömer att ett företag som har till kärnverksamhet att hantera kunders redovisning och bokslut m.m. för såväl företags- som privata kunders räkning, bör implementera såväl ett personuppgiftsbiträde som ett dataskyddsombud.

Svar: Ja, ert företag är ett personuppgiftsbiträde när det hanterar personuppgifter för en personuppgiftsansvarigs räkning. Ett företag som har till kärnverksamhet att hantera kunders redovisning och bokslut, är allt som oftast ett personuppgiftsbiträde åt sin kund, som i sin tur är personuppgiftsansvarig.

Om företaget behöver ha ett dataskyddsombud beror på om kärnverksamheten består av behandling som, på grund av sin karaktär, sin omfattning och/eller sina ändamål, kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. Detta är när övervakningen sker ständigt eller återkommande enligt plan eller system. Det kan t.ex. vara positionsspårning i mobilappar, lojalitetsprogram och övervakningskameror.

Företaget behöver också dataskyddsombud om kärnverksamheten består av behandling i stor omfattning av känsliga personuppgifter (särskilda kategorier av personuppgifter) och personuppgifter som rör fällande domar i brottmål och vissa överträdelser. Vad som menas med stor omfattning går inte att säga exakt utan bedömningen måste göras utifrån hur många som är registrerade, hur mycket uppgifter och vilka typer av uppgifter som behandlas och hur länge uppgifterna behandlas.

Fråga: Hur hanterar idag befintliga distributionslistor som företag byggt upp för deras nyhetsbrev eller andra utskick. Det handlar om excel-listor oftast med personnamn, företagsnamn, ort, typ av aktör och mailadress. Måste alla dessa tillfrågas innan ett nyhetsbrev går ut efter att GDPR trätt i kraft? Eller vad gäller?

Svar: Nej, de behöver inte tillfrågas innan utskick av nyhetsbrev. Men lagringen av uppgifterna och utskicket är exempel på behandling av personuppgifter. Ditt företag ska därför se till att lagring och utskick följer de grundläggande reglerna om

  • laglig, korrekt och öppen behandling
  • ändamålsbegränsning
  • uppgiftsminimering
  • lagringsminimering
  • korrekthet
  • integritet och konfidentiallitet.

Ditt företag ska kunna visa att det följer dessa principer för behandling av personuppgifter. Ni har enligt den tidigare lagstiftningen lämnat information till de registrerade. Men det kan vara lämpligt att ha en kortfattad information som är uppdaterad med hänsyn till att GDPR börjat tillämpas.

Ditt företag bör också se till att nyhetsbrevet innehåller information om hur mottagarna ska kunna avregistrera sig om de motsätter sig att deras personuppgifter används för direktmarknadsföring.

Fråga: Får företag inte bygga upp kontaktlistor på kunder/leverantörer/nyckelkontakter inom privat och offentlig sektor för ev. nyhetsbrev, sporadiska nyhetsutskick, julhälsningar m.m.

Svar: Jo, det går bra att bygga upp kontaktlistor. Men de grundläggande reglerna måste följas och de personer vars uppgifter registreras ska informeras. Vilken information du ska lämna vid insamling av personuppgifter kan du läsa om t.ex. på https://www.foretagarna.se/driva-eget-foretag/gdpr/vad-maste-mitt-foretag-lamna-for-information-nar-jag-samlar-in-personuppgifter-t.ex.-fran-kunder/

Fråga: Kan vi gå ut till våra kunder via en tjänst för e-postmarknadsföring och säga att de kan lätt ta bort sig ur vårt register där, om de inte längre vill finnas kvar i vårt kundregister och därigenom anses att ha fått OK från de som stannar kvar i vårt register?

Svar: De som inte avanmäler sig har inte lämnat sitt uttryckliga samtycke till behandlingen t.ex. lagring och utskick från er. Det krävs uttryckligt samtycke för att ni ska kunna använda samtycke som grund för laglig behandling. Så antingen måste ni använda någon av de andra fem grunderna för laglig behandling eller be att de gör någon aktiv handling för att vara kvar som registrerade t.ex. svara på ett meddelande.

Grunderna för laglig behandling är:

  • samtycke
  • avtal med den registrerade
  • fullgöra en rättslig förpliktelse
  • för att skydda intressen av grundläggande betydelse för den registrerade eller annan fysisk person
  • för att utföra en uppgift av allmänt intresse eller myndighetsutövning och
  • intresseavvägning.

Förmodligen kan du göra en intresseavvägning i detta fall och då resonera kring ditt företags behov av att kunna kommunicera med kunderna och väga det mot kundernas behov av personlig integritet för de uppgifter som ditt företag har i kundregistret. Tänk också på att ditt företag ska uppfylla alla de andra principerna för att få behandla personuppgifterna.

Fråga: Hur jag ska hantera mitt kundregister som jag byggt upp fram t o m den 24 maj 2018 d.v.s. det som skapas via ordrar i min webbshop?

Svar: Du bör se över ditt företags kundregister så att det uppfyller de grundläggande villkoren i GDPR om laglighet, korrekthet och öppenhet, ändamålsbegränsning, uppgiftsminimering,  lagringsminimering, integritet och konfidentialitet. Det kan innebära att ditt företag t.ex. måste ta bort vissa uppgifter som är onödiga eller lagrats för länge. Men det kan också innebära att ditt företag måste se över säkerheten t.ex. vem som får läsa eller använda uppgifterna.

Fråga: Hur ser en bra och vettig lösning ut i min webbshop? Ska jag ha två st olika clickboxar - en för godkännande av shoppens köpvillkor och en som bekräftar kundens samtycke till att vi lagrar deras personuppgifter. (Inte personnummer eller kortuppgifter - endast namn, adress, mejladress och telefonnummer.)

Svar: Ja, det är bra att du har en separat ruta att klicka för samtycket till behandling av personuppgifter och att ditt företag sparar uppgiften om samtycket så att den är dokumenterad. Kom ihåg att samtycket ska vara välinformerat d.v.s. ditt företag ska ha lämnat grundläggande information om bl.a. ändamål, lagringstid m.m. Det räcker alltså inte med att få ett godkännande av lagring av kundens personuppgifter. 

Fråga: Det känns som något slags ”Moment 22” - jag måste spara uppgifterna till min bokföring och eventuell revision i minst sju år - hur ska detta fungera om kunden inte är med på det? Hur ska jag kunna behandla reklamationer och ångerköp utan uppgifterna - att ens hitta ordern blir omöjligt.

Svar: Du behöver inte alltid ha samtycke för att få spara uppgifterna. GDPR har sex olika grunder för laglig behandling varav samtycke är en. Ditt företag behöver därför undersöka om ni istället kan behandla uppgifterna med stöd av någon av de andra grunderna, t.ex. att behandlingen är nödvändig för att kunna fullgöra avtalet med den registrerade, att ni har en rättslig förpliktelse eller efter en s.k. intresseavvägning.

Intresseavvägning innebär att ni gör en bedömning att uppgifterna nödvändiga att använda för företagets berättigade intresse och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.

Fråga: Hur blir det för fotografer? En bild räknas enligt GDPR som en personuppgift. Personuppgifter får inte avtalas att sparas hur länge som helst utan, som jag förstår det, så ska det vara ett specifikt antal år. Som upphovsman så har fotografen rätt till sina bilder. Vad gäller där? Och hur är det med andra personer som hamnar med på bilderna vid stora event som fotografen inte har avtal med?

Svar: Det finns förslag på kompletterande svensk lagstiftning som innebär att vissa delar av GDPR inte kommer att tillämpas på behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande. Det kommer då att innebära att fotografer ofta kommer kunna hantera sina verk oavsett att fysiska personer är identifierbara utan att behöva tillämpa t.ex. principerna i GDPR. . Däremot kommer godkännande fortfarande krävas från personen på bilden när det handlar om personer som syns på en bild som används i reklam.

Fråga: Vi har en internetbutik. Vi har inga egna kundregister och inget eget IT-stöd för verksamheten utan nyttjar en tjänst i ”molnet”. Som tillhandahåller en virtuell butik med tillhörande logistiktjänster. Den sköter all digital kundkontakt och är kopplad till betalningstjänster som Klarna o Paypal. 

Vi har frågat tjänsteleverantören om de kommer att leva upp till kraven enligt EUs dataskyddsförordning (GDPR). Och fått svaret ”det kommer de visst att göra och vi behöver inte bekymra oss eller vidta några egna åtgärder”. Är det här tillräckligt för att vi fortfarande ska vara laglydiga efter den 25 maj?

Svar: Du bör följa upp och spara svaren som du får från leverantörerna så att du har dokumentation på hur de t.ex. följer reglerna om hantering av personuppgifter utanför EU/EES. Detta så att du kan vidta åtgärder och lämna rätt information till de registrerade.

Läs igenom de avtal ni har med leverantören för att se så att personuppgiftshanteringen verkligen är reglerad och så att ni förstår flödet av personuppgifter. Du skriver att ni inte har någon digital kundkontakt, och då kan det vara så att det är leverantören av den virtuella butiken som de facto är den personuppgiftsansvarige. Men detta måste ni utreda närmare, så att det sen inte visar sig att det egentligen är ert företag som är den personuppgiftsansvarige.

Fråga: Hur får lönespecifikationer distribueras? Måste vi posta eller ansluta oss till Kivra?

Svar: Nej, e-post anses inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer. Post går bra och tjänster som Kivra. Uppmaning om att lönespecifikationen finns via en tjänst som kräver inlogg, som ert interna system för tidrapportering och dylikt går också bra. Så länge detta system i sin tur uppfyller säkerhetskraven som ställs upp i GDPR.

Fråga: Vad gäller mellan maj och när de svenska riktlinjerna är klara. Svenska kompletterande lagstiftningen m.m. blir inte klar förrän i höst?

Svar: Under denna tid gäller GDPR redan som svensk lag. Lagrådet har yttrade sig den 30 januari 2018 om vissa av förslagen och vi kan räkna med att propositioner till riksdagen kommer att läggas under våren. Vi får hoppas att riksdagen hinner besluta om ny dataskyddslag m.m. innan den 25 maj 2018 så att lagarna kan träda i kraft den dagen.

Fråga: Bokföringslagen som säger att jag ska spara bokföring på papper och digitalt i 7 år, står den över GDPR?

Svar: Nej, GDPR är en EU-förordning och gäller före svensk nationell rätt. Men GDPR ger möjlighet att lagra uppgifter som det krävs i unionsrätten eller i nationell rätt t.ex. svenska bokföringslagen.

Fråga: Vi har en web-shop, där personuppgifter lagras. Ska jag informera i köpvillkoren att personuppgifter lagras och hur länge? Och även att kunder själva kan begära att bli raderade?

Svar: Ja, du kan informera kortfattat i köpvillkoren och sedan på annat ställe ha mer utförlig information. Det övergripande syftet är att informationen ska vara klar och tydlig. De flesta läser inte sina köpevillkor, Datainspektionen ger rådet att separera dem från övriga villkor.

Tänk dock på att om du ska behandla uppgifterna med stöd av samtycke ska det lämnas särskilt t.ex. genom att kunden kryssar i en ruta i web-shopen och ska innan dess fått åtminstone vissa grundläggande uppgifter om ändamål, lagringstid m.m.

Fråga: GDPR gäller enbart privatpersoner och ej personer som har enskild firma? Stämmer det?

Svar: Nej, även personer med enskild firma är nu levande fysiska personer och omfattas därför av reglerna om skydd för personuppgifter i GDPR.

Fråga: Löneunderlag, lönespecar och andra underlag inför lönekörningar. Hur får dessa dokument förmedlas mellan avdelningar/bolag efter 25/5 2018? Får man skicka via mejl eller ska dessa krypteras? Det finns uppdragsavtal mellan företaget och oss som lönekonsulter.

Svar: De ska förmedlas med respekt för att de innehåller uppgifter som de anställda förmodligen inte vill att vem som helst ska kunna läsa. Det kan innebära att uppgifterna hanteras i slutna system där bara de som behöver uppgifterna har tillgång till dem. Ni ska undvika att skicka löneunderlag m.m. via e-post om det inte är krypterat. Tänk på att ni i uppdragsavtalet eller i ett tilläggsavtal ska ha med särskilda punkter enligt GDPR om ni är personuppgiftsbiträde.

Fråga: Vad räknas som personuppgifter?

Svar: Definitionen är varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Som exempel kan nämnas e-postadress, mobilnummer eller bilregistreringsnummer om det kan förknippas med en nu levande fysisk person. Men det kan också vara t.ex. ett fotografi där personen på bilden går att känna igen.

Fråga: Om man har redovisningsbyråns kontor i bostaden, hur ser kraven då ut? Är det samma krav på inlåsning av underlag eller räcker det att man förvarar underlagen på kontoret i ett skåp? Gäller detta även om kunder ej har tillträde till kontoret?

Svar: GDPR gör ingen skillnad på om förvaringen sker i bostaden eller i någon lokal utan du ska vidta lämpliga säkerhetsåtgärder.

Fråga: Som underleverantör får jag av min kund en godsmärkning de önskar på sändningen, detta förefaller vara ett namn. Jag har ingen ytterligare information som telefon eller adress utan varan skall sändas till min kund. Är detta namn då en personuppgift i lagens mening? Om nej, kan svaret påverkas av hur unikt namnet är?

Svar: Ett namn kan vara en personuppgift om det är så unikt att det går att identifiera personen ifråga.

Fråga: Skall uppgifter rensas bort på eget initiativ eller räcker det att jag har rutiner så att det kan ske när någon så begär?

Svar: Ditt företag ska som personuppgiftsansvarig ha bestämt när personuppgifterna ska rensas.

Fråga: Vad kan jag ställa för krav för att säkerställa att den som begär ut uppgifter eller rensning verkligen är behörig att göra så, dvs så att jag inte kan ta bort uppgifter för någon annan utan dennes vetskap (legitimationskrav)?

Svar: Om ditt företag har rimliga skäl att betvivla att den som begär ut uppgifter, radering eller vill utnyttja någon annan av sina rättigheter som registrerad inte är den hen utger sig för kan du begära den ytterligare information som är nödvändig för att bekräfta den registrerades identitet.

Fråga: Kan jag innan en rensning begära att den som önskar rensningen bekräftar att det skulle kunna innebära negativa konsekvenser för denne i framtiden, exempelvis vid förfrågan om betyg och liknande? Kan jag i sådant fall spara denna bekräftelse som framtida bevis?

Svar: Nej, GDPR räknar upp de fall där den registrerade har rätt till radering av uppgifterna och även undantagen.

Fråga: Person A i företag X skriver ett mail till person B vid företag Y, i den löpande texten hänvisar man till person C som kan besvara eventuella frågor på telefon eller mail som anges. Är uppgifterna om person C personuppgifter enligt lagens mening?

Svar: Ja, om det går att identifiera person C.

Fråga: Efter rensning av exempelvis anställningsuppgifter så saknas möjligheter att söka efter personen och någon koppling till anställningsnummer finns inte. Har jag i samband med det en skyldighet att även ta bort utskrivna dokument där uppgifterna finns, exempelvis lönespecifikationer (arkiverade per månad och sorterade efter anställningsnummer) för denne anställde där jag önskar ha kvar övriga anställdas?

Svar: Det är bara om de utskrivna dokumenten ingår i ett register eller kommer ingå i ett register som GDPR ska tillämpas på personuppgifterna i dokumenten.

Fråga: Vi skulle vilja veta hur det specifikt påverkar B2B företag. Berörs vi över huvud taget. Vi har ju inga privata adresser eller telefonnummer till dessa företagsägda telefoner, e-postadresser etc.

Svar: Även B2B företag hanterar personuppgifter t.ex. anställda, kontaktpersoner hos kunder och leverantörer.

Fråga: Kommer de nya reglerna påverka de rutiner och regler vi har inom tandvården? Vi har ju redan nu journallagen etc.

Svar: Ja, GDPR kommer att på verka alla verksamheter på något sätt även om vissa delar inte ska tillämpas för att den kompletterande lagstiftningen har undantag.

Fråga: Måste kunden särskilt ge sitt samtycke eller klassas ett köp som samtycke?

Svar: Ja, ett samtycke ska vara uttryckligt och ske i aktiv form efter att kunden fått åtminstone viss grundläggande information om hur ditt företag kommer att behandla personuppgifterna. Underförstådda samtycken gäller inte. Att uppgifterna är nödvändiga för fullgörandet av avtalet är ett exempel på en annan grund för laglig behandling istället för samtycke.

Fråga: Om kunden enbart får en offert/prisförfrågan, kan dessa uppgifter sparas utan ett särskilt samtycke?

Svar: Ja, du kan använda någon annan grund för laglig behandling t.ex. intresseavvägning. Men tänk också på att övriga principer för behandling ska följas. Det är viktigt att intresseavvägningen görs korrekt att ”den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt om de det gäller barn”. Exempelvis måste då de radera personuppgifterna efter det att offerten inte längre är gällande, om det är det som är ändamålet.

Fråga: Krävs ett samtycke för kunder som tagit en offert ska kunna bearbetas via en påminnelse, ”du har tagit en offert är du fortfarande intresserad”?

Svar: Nej, ditt företag kan ha annan grund för laglig behandling. Kom ihåg att dokumentera det och du inte får använda personuppgifter för ändamål som är oförenliga med ändamålet som de samlades in för.

Fråga: Om kunden ger sitt samtycke, vad är skillnaden gentemot personuppgiftslagen (PUL)?

Svar: Samtycket ska vara uttryckligt, välinformerat, frivilligt och dokumenterat. Tidigare har underförstådda samtycken godtagits.

Fråga: Kan man fortfarande skicka direktreklam om kunden medger sitt samtycke?

Svar: Ja, det är tillåtet att skicka direktreklam om reglerna i GDPR följs. De registrerade har dock rätt att invända mot direktmarknadsföring. Om ditt företag fått ett samtycke till att behandla personuppgifterna så ska det vara lika lätt att ta tillbaka samtycket som att lämna samtycket.

Fråga: Är det någon skillnad om innehållet i det man skickar till kund berör ren information eller om det är ett köperbjudande?

Svar: Ja, om det är fråga om direkt marknadsföring har kunden rätt att invända mot att personuppgifterna används för det och personuppgifterna får då inte längre behandlas för detta ändamål.

Fråga: Klassas telefonnummer, mailadress eller IP-adress som särskild unik personinformation?

Svar: Telefonnummer, mailadress och IP-adress kan vara personuppgifter om de pekar ut eller används ihop med uppgifter om en identifierad eller identifierbar fysisk person.

Fråga: Skall man ha skriftligt godkännande från kund om att de godkänner att finnas med i register? Om ja, skall man i så fall föra in en speciell text på följesedel eller faktura i stil med ”Härmed godkänner jag att jag finns med i företagets register…”?

Svar: Ett samtycke ska tas in innan behandling, när du skickar följesedel eller faktura är för sent. Ditt företag kan begära samtycke till behandlingen eller välja att behandla personuppgifterna med stöd av någon av de andra fem grunderna för laglig behandling.

Om ditt företag ska behandla känsliga personuppgifter är huvudregeln att ditt företag ska ha ett välinformerat, uttryckligt, frivilligt och dokumenterat samtycke till behandlingen av de känsliga personuppgifterna annars är det bara i vissa undantagsfall som ditt företag får behandla de känsliga uppgifterna.

Eftersom det är kunden som ska lämna samtycket till ditt företag är det bäst att de lämnar det t.ex. i samband med beställningen eller i annat meddelande som de skickar till ditt företag.

Fråga: Måste man ta bort tidigare registrerade uppgifter på gamla kunder/ leverantörer (i faktureringssystem ut till kund eller leverantörsuppgifter)?

Svar: Ja, när du inte längre har något syfte med att behandla uppgifterna eller inte har någon grund för laglig behandling längre ska du radera uppgifterna.

Fråga: Gäller detta bara ”privata uppgifter” eller gäller det även företagsuppgifter?

Svar: Det gäller bara personuppgifter, ditt företag kan ha kvar uppgifter om t.ex. juridiska personer under längre tid än du kan ha uppgifter om kontaktpersonerna på företaget.

Fråga: Vad innefattar begreppet ”personuppgifter”?

Svar: Definitionen är varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbarfysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Som exempel kan nämnas e-postadress, mobilnummer eller bilregistreringsnummer om det kan förknippas med en nu levande fysisk person. Men det kan också vara t.ex. ett fotografi där personen på bilden går att känna igen.

Fråga: Information om en trailer (reg.nr) samt telefon till chauffören, räknas detta som personuppgifter?

Svar: Ja, om uppgifterna kan kopplas till chauffören som är en levande fysisk person.

Räkna ut kostnaden för ditt medlemskap
VÄLJ MEDLEMSKAP, ANGE POSTNUMMER OCH ANTAL ANSTÄLLDA OCH SE ÅRSKOSTNAD