VAD SKA VI GÖRA NU NÄR 25 MAJ PASSERAT?

Den 25 maj har passerat och den nya dataskyddsförordningen, GDPR har trätt i kraft. Det är nu det gäller att ha koll på de personuppgifter man som företag hanterar. Om du ännu inte har full koll kan du fortfarande starta processen för att hitta ett strukturerat arbetssätt som säkerhetsställer att du följer alla regler kring GDPR.

Vi har sett att många företag verkligen gjort en stor insats för att få en bättre hantering av sina personuppgifter. Man har tagit de nya reglerna på allvar, dels för att man inte vill bli bestraffad men också för att reglerna innebär något positivt. Personuppgifter är inget som ska hamna i fel händer, och att man som privatperson nu har större makt över sina uppgifter ser vi som något bra.

Att man har tydliga rutiner i sin verksamhet minskar stressen hos företagare. Att veta att ens leverantörer hanterar personuppgifter på ett korrekt sätt ökar också tryggheten. På samma sätt inger du förtroende hos dina kunder när du visar att du hanterar personuppgifter korrekt, oavsett om dina kunder är företag eller privatpersoner.

Att skapa GDPR-struktur är inte en engångsåtgärd, det är nu det kontinuerliga arbetet börjar. Lagen har trätt i kraft och det gäller nu att efterleva de riktlinjer som du satt upp. När vi hjälper våra medlemmar i deras GDPR-arbete kommer många frågor upp. Här ger vi svar på några av de vanligaste frågorna.

Vi är ett företag som bara arbetar mot andra företag. Behandlar vi personuppgifter?

Svaret blir nästan alltid ja. Begreppet personuppgift är väldigt brett och träffar i regel all information som direkt eller indirekt kan användas för att identifiera en levande, fysisk person. Ofta behandlas personuppgifter åtminstone i form av kontaktuppgifter till kontaktpersoner. Internt behandlas även anställdas personuppgifter.

Får man inte behandla personuppgifter längre?

GDPR innebär inte ett förbud mot behandling av personuppgifter, däremot ställer förordningen högre krav på den som behandlar uppgifter. Bland annat är det krav på att tillhandahålla tydlig information rörande de personuppgifter som skall behandlas, krav på att behandla uppgifter på ett säkert sätt och krav på att vara medveten om vilka skyldigheter man har som personuppgiftsansvarig.

Måste man alltid inhämta samtycke för att få behandla personuppgifter?

Svaret är nej. Behandling är laglig om samtycke för behandlingen har inhämtats, men det är inte det enda tillfället då behandling är laglig. Det finns ett antal tillfällen då behandling är laglig. Exempel på ytterligare tillfällen då behandling är laglig:

• Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade personen är part, eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås
• Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Som vanligt kan du alltid lyfta luren till oss på Freja Partner så hjälper vi dig i dina juridiska frågor!