GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

GDPR - Näringsliv

Behandla personuppgifter i näringslivet

Företag brukar behandla personuppgifter i sin verksamhet. Personuppgifterna kan tillhöra externa parter, såsom leverantörer, kunder och samarbetspartners, samt interna parter, såsom företagets anställda. 

Vanligt med behandlingar av personuppgifter i näringslivet

Företag som behandlar personuppgifter inom EU måste följa GDPR. Med andra ord gäller det inte bara företag som har sitt säte i EU, utan även företag som har sitt säte utanför men som behandlar personuppgifter tillhörande personer inom EU. Det är ofta nödvändigt att behöva behandla personuppgifter för att kunna driva verksamheten. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Exempel på behandlingar inom näringslivet

  • Hemadress tillhörande kunder som beställer varor från en e-handel, för att kunna genomföra hemleverans av köpta produkter. 
  • Anställdas namn, personnummer och bankkontonummer för att kunna betala lönen.
  • Kameraövervakning i receptionen, som en extra säkerhetsåtgärd.

Roller i GDPR

Det finns olika roller i GDPR som kan vara bra att känna till. Till exempel vem som är personuppgiftsansvarig och personuppgiftsbiträde, vilka aktörer som behöver utse ett dataskyddsombud, vilka som kan vara registrerade samt vad de nationella dataskyddsmyndigheterna gör. Nedan följer en kort sammanfattning av bland annat detta.

Personuppgiftsansvarig

Det är den personuppgiftsansvarige som bestämmer syftet med behandlingen, hur länge den ska pågå och hur den ska gå till. Ett företag, en myndighet eller annan form av organisation kan vara personuppgiftsansvarig. Även fysiska individer kan vara personuppgiftsansvariga i vissa fall. 

Vem har ansvar för behandlingen enligt GDPR?

Den personuppgiftsansvarige har ansvaret för att behandlingen sker korrekt i enlighet med reglerna i GDPR. Däremot har personuppgiftsbiträden också ett ansvar för sin behandling av personuppgifterna, som blir utförd för den personuppgiftsansvariges räkning. 

Den personuppgiftsansvarige är oftast organisationen i sig, och inte en specifik person såsom ägaren eller anställda. I vissa fall kan dock en enskild person vara personuppgiftsansvarig. Exempelvis om det är en enskild näringsidkare eller en privatperson som utför behandlingen.

Några vanliga frågor gällande personuppgiftsansvariga
Är det möjligt att överlåta utförandet av behandlingen av personuppgifterna till någon annan?

Ja, företag kan överlåta utförandet av behandlingen av personuppgifterna till någon annan enligt GDPR. Men det är inte möjligt att överlåta ansvaret för personuppgifterna och behandlingen. Det är endast behandlingen i sig som är möjlig att delegera bort till någon annan. Exempelvis till ett anlitat personuppgiftsbiträde.

Kan flera företag vara gemensamt personuppgiftsansvariga?

Ja, två eller fler företag kan ha ett gemensamt personuppgiftsansvar. Observera att det är viktigt att reglera förhållandet i ett skriftligt avtal. Exempelvis vem som ska fullgöra vilka skyldigheter för att inte bryta mot GDPR.

Hur ska anställda behandla personuppgifter?

Anställda får inte behandla personuppgifter i strid med de instruktioner som den personuppgiftsansvarige har gett. Därför är det viktigt att skapa skriftliga och tydliga rutiner som personalen ska följa vid behandlingen av personuppgifterna i praktiken.

Personuppgiftsbiträde

När en aktör behandlar personuppgifter åt en annan aktör, sker behandlingen i rollen som personuppgiftsbiträde. Med andra ord behandlar personuppgiftsbiträdet personuppgifter för den personuppgiftsansvariges räkning och enligt dennes instruktioner. 

Exempel på situationer när företag brukar vara personuppgiftsbiträden

Molnlagring

Många företag använder molnlagring för att spara olika digitala filer online, såsom avtal, bilder, filmer och/eller säkerhetskopior. Dessa filer kan innehålla personuppgifter. Vid sådana fall behandlar molntjänstleverantören personuppgifterna för sina kunders räkning. Molntjänstleverantören agerar därmed i rollen personuppgiftsbiträde när de behandlar personuppgifterna som förekommer lagrade i deras molntjänst i samband med tillhandahållandet av tjänsten till kunderna.

An administrative fine

Redovisningsbyråer

När ett företag anlitar en redovisningsbyrå för att sköta bokföringen, faktureringen, löneutbetalningen eller liknande, kommer redovisningsbyrån att få tillgång till personuppgifter i samband med att de utför sitt uppdrag. Exempelvis framgår namn, och eventuell information om sjukfrånvaro i de anställdas lönespecifikationer, som redovisningsbyrån kan få i uppdrag att skapa och skicka till de anställda. Därmed behandlar redovisningsbyrån personuppgifter åt företaget som anlitat dem, i syfte att kunna fullgöra uppdraget.

Periodic penalty payments

CRM-system

Företag som har många anställda och kunder brukar ha ett CRM-system. Företaget som bedriver CRM-systemet behandlar därmed personuppgifter åt företaget som använder tjänsten, och är därför ett personuppgiftsbiträde vid sin behandling av sådana personuppgifter.

Några vanliga frågor gällande personuppgiftsbiträden
Vem kan vara personuppgiftsbiträde?

Både fysiska och juridiska personer kan vara personuppgiftsbiträden. Med andra ord företag, organisationer, myndigheter och privatpersoner.

Kan personuppgiftsbiträden hållas ansvariga för överträdelser av GDPR?

Ja, personuppgiftsbiträden kan få sanktionsavgifter om de bryter mot GDPR. Dessutom kan de bli skadeståndsskyldiga gentemot de registrerade i enlighet med artikel 82 i GDPR.

Hur ska personuppgiftsbiträden göra om de vill anlita ett underbiträde?

Den personuppgiftsansvarige måste först ge sitt skriftliga tillstånd för att ett personuppgiftsbiträde i sin tur ska få anlita ett underbiträde. Om godkännande erhålls, ska personuppgiftsbiträdet och underbiträdet även ingå ett personuppgiftsbiträdesavtal med varandra, enligt artikel 28 i GDPR.

Måste personuppgiftsbiträdesavtal vara skriftliga enligt GDPR?

Ja, personuppgiftsbiträdesavtal vara skriftliga enligt GDPR. Det finns nämligen formkrav på personuppgiftsbiträdesavtal enligt artikel 28 i GDPR, som tydligt anger att det måste vara skriftligt. Med andra ord är muntliga personuppgiftsbiträdesavtal ogiltiga och därmed i strid med GDPR.

Dataskyddsombud


Vissa företag måste ha ett dataskyddsombud enligt GDPR. Även företag som inte behöver utse ett dataskyddsombud enligt GDPR, kan göra det frivilligt som en integritetshöjande säkerhetsåtgärd. 

Vad dataskyddsombud ska göra

Dataskyddsombud arbetar med att övervaka företagets efterlevnad av GDPR. Det kan vara en anställd som innehar rollen som dataskyddsombud, men det behöver inte vara en anställd. Dataskyddsombud ska bland annat ge råd kring företagets behandling av personuppgifter, kontrollera organisationens interna styrdokument såsom de interna rutinerna, och samla in information gällande företagets behandling av personuppgifter. Ett dataskyddsombud har således en viktig roll när det gäller dataskyddsarbetet inom verksamheten. 

Rätt att kontakta dataskyddsombud

Registrerade har rätt att kontakta dataskyddsombudet vid frågor gällande behandlingen av sina personuppgifter. Detta inkluderar inte bara kunder och externa personer, utan också de anställda på företaget. Kontaktuppgifterna till dataskyddsombudet ska vara offentligt tillgängliga, och brukar framgå i integritetsmeddelandet som finns publicerat på företagets officiella webbplats. Dessutom ska företaget anmäla dataskyddsombudet till den nationella dataskyddsmyndigheten. 

Här är några vanliga frågor om Dataskyddsombud
Har dataskyddsombud ett personligt ansvar för hur företaget behandlar personuppgifter

Nej, dataskyddsombud har inget personligt ansvar för hur företaget behandlar personuppgifter. Dessutom är det förbjudet att straffa dataskyddsombudet för att denne har utfört sina arbetsuppgifter. Det är den aktör som dataskyddsombudet arbetar för som har ansvaret för att dess behandling av personuppgifter följer reglerna i GDPR.

Vilka kunskaper bör dataskyddsombud ha?

Kunskaper om GDPR och eventuell kompletterande relevant nationell dataskyddslagstiftning. Känna till verksamheten, hur personuppgiftsbehandlingen sker, vilka tekniska och organisatoriska säkerhetsåtgärder företaget har vidtagit m.m. Kunna sprida lämplig information och skapa en god dataskyddskultur inom verksamheten.

Måste dataskyddsombud vara anställd av företaget?

Nej, ett dataskyddsombud behöver inte vara anställd av företaget. Dataskyddsombudet kan vara en extern aktör. Däremot kan det vara en anställd på företaget. Den individ som agerar som dataskyddsombud kan också paralellt ha andra arbetsuppgifter, såvida det inte krockar med rollen som dataskyddsombud.

Ska företag rådfråga dataskyddsombud när de gör konsekvensbedömningar?

Ja, när ett företag ska göra en konsekvensbedömning, ska dataskyddsombudet alltid vara inblandad i processen. Detsamma gäller om företaget överväger att göra en konsekvensbedömning.

Registrerad

Det är viktigt att känna till vad en registrerad är och vilka rättigheter registrerade har, för att kunna följa GDPR i praktiken. 

Rättigheter som registrerade har

Registrerade har flera rättigheter enligt GDPR. Det är vanligt att tala om de åtta centrala rättigheterna som anges i artiklarna 15-22 i GDPR.

Vanliga frågor gällande registrerade enligt GDPR
Kan registrerade ha rätt till skadestånd enligt GDPR?

Ja, registrerade kan ha rätt till skadestånd enligt artikel 82 i GDPR. Observera att skadestånd inte är samma sak som sanktionsavgift. Det behöver ske en immateriell eller materiell skada för att en registrerad ska ha rätt till skadestånd, men det finns undantag. I vissa fall kan en registrerad ha rätt till skadestånd vid en fruktan för framtida immateriell skada.

Nationella dataskyddsmyndigheter

Alla länder inom EU har en nationell dataskyddsmyndighet. De har en viktig roll inom GDPR. 

Frågor om nationella dataskyddsmyndigheter
Vilken dataskyddsmyndighet kan registrerade göra en anmälan till?

De registrerade kan lämna in en anmälan till den nationella dataskyddsmyndigheten i dennes bosättningsland. Om dataskyddsmyndigheten anser att ett annat lands dataskyddsmyndighet är mer lämplig att hantera ärenden, till exempel för att företaget som brutit mot GDPR har sitt huvudkontor där, kan de överföra ärendet dit. Med andra ord behöver inte den registrerade oroa sig för att behöva anmäla till rätt dataskyddsmyndighet.

Kan nationella dataskyddsmyndigheter utfärda sanktionsavgifter?

Ja, nationella dataskyddsmyndigheter har befogenhet att utfärda sanktionsavgifter om de anser att företag har brutit mot GDPR. Däremot är det möjligt att överklaga beslutet till domstol.

Kan dataskyddsmyndigheter yrka skadestånd för drabbade registrerade?

Nej, dataskyddsmyndigheter kan inte yrka skadestånd för drabbade registrerade. De utfärdar däremot sanktionsavgifter mot företag, vilket är ett bötesbelopp som de registrerade inte får ta del av. Den drabbade registrerade behöver begära skadestånd själva, antingen direkt av företaget eller genom att väcka talan mot företaget i ett civilrättsligt mål.

Behandla personuppgifter som arbetsgivare

Det är väldigt vanligt att behandla personuppgifter som arbetsgivare. Dessutom är det vanligt att behandla känsliga personuppgifter inom arbetslivet, vilket innebär striktare regler. Därför är det bra att känna till reglerna i GDPR för att inte bryta mot regelverket, eftersom brott mot GDPR kan resultera i stora ekonomiska konsekvenser för bolaget. Till exempel brukar arbetsgivare behandla namn på de anställda, möjligtvis närstående kontaktperson, bankkontouppgifter, sjukfrånvaro, använda kameraövervakning, rekryteringssystem m.m. 

Personuppgiftsansvar när arbetsgivare behandlar personuppgifter

Det är företaget i sig som är personuppgiftsansvarig, och inte chefen eller någon annan individ som arbetar i verksamheten. Det är den juridiska personen i sig som är arbetsgivaren och därmed ansvarig för behandlingen av personuppgifter. I vissa fall är det dock en fysisk person som kan inneha rollen som personuppgiftsansvarig, till exempel om det är en enskild näringsidkare eller privatperson som utför behandlingen.  

Kan personuppgiftsbiträden vara ansvariga för behandling av personuppgifter?

Ja, till exempel om ett företag som är personuppgiftsansvarig anlitar en redovisningsbyrå för att sköta lönehanteringen. Redovisningsbyrån är vid sådana fall personuppgiftsbiträde, men har ett eget ansvar över behandlingen de utför. Redovisningsbyrån är däremot inte personuppgiftsansvarig för de behandlade personuppgifterna.

Rekryteringssystem och kompetensdatabaser

Många företag har anställda för att kunna bedriva verksamheten på ett ändamålsenligt sätt. Dessutom är det vanligt att utgå från kompetensdatabaser vid rekrytering, vilket utgör en behandling av personuppgifter. Då behöver företaget bland annat ha en rättslig grund för den behandlingen. Ofta är berättigat intresse den lämpliga rättsliga grunden att stödja behandlingen på. 

Behandla inte fler personuppgifter än nödvändigt

Företag får enbart behandla de personuppgifter som är nödvändiga för ändamålet med behandlingen. Dessutom ska personuppgifterna bli raderade eller anonymiserade när de inte längre är nödvändiga att behandla. 

Observera att det är tillåtet för arbetsgivaren fortsätta behandla personuppgifterna så länge det är möjligt för den arbetssökande eller anställde ifråga att vidta rättsliga åtgärder. Känsliga personuppgifter är däremot normalt inte tillåtet för arbetsgivare att behandla vid rekrytering. Detsamma gäller uppgifter om lagöverträdelser.

Vanliga frågor gällande rekryteringssystem och kompetensdatabaser
Kan man använda samtycke som rättslig grund vid användning av rekryteringssystem och kompetensdatabaser?

Det är olämpligt att i de flesta fall att använda samtycke som rättslig grund när en arbetsgivare behandlar personuppgifter tillhörande arbetstagare. Detta beror på att maktförhållandet är ojämlikt mellan parterna. Det är något som EDPB också har uttalat sig om i sina riktlinjer gällande användningen av samtycke som rättslig grund.

Får företag använda automatiserade beslut vid anställning av personal?

Huvudregeln i GDPR innebär att anställda, vilket också inkluderar framtida anställda, har rätt att inte bli föremål för beslut som endast är grundat på ett automatiserat beslutsfattande.

Ska de anställda bli informerade om behandlingen av deras personuppgifter i rekryteringssystem och kompetensdatabaser?

Ja, den generella regeln innebär att de anställda ska bli informerade om behandlingen av deras personuppgifter. Med andra ord ska inte behandlingen ske utan att de känner till den.

GDPR vid övervakning av anställda

Företag kan i vissa fall behöva övervaka arbetsplatsen och/eller anställda, exempelvis genom att ha kameraövervakning i företaget lokaler. 

Kameraövervakning på arbetsplatsen

Det kan vara lämpligt att ha kameraövervakning på arbetsplatsen. Däremot innebär det ett stort integritetsintrång och anställda har normalt ett starkt intresse av att slippa vara föremål för sådan övervakning. Därför ska det finnas starka skäl för att få ha kameraövervakning på arbetsplatsen. Till exempel kan ett giltigt skäl för att ha kameraövervakning i lagret vara att det finns tillgångar av högt värde förvarade där. Dock är det inte okej att ha en kamera framför toaletten, för att kunna bevaka hur ofta de anställda besöker toaletten. 

Vanliga frågor
Vilket rättslig grund är vanlig att stödja behandlingen vid övervakning av anställda?

Berättigat intresse brukar vara den lämpliga rättsliga grunden. Samtycke är generellt inte giltigt, eftersom det råder ett ojämlikt maktförhållande mellan arbetsgivaren och arbetstagaren.

Måste företag göra en konsekvensbedömning när de ska övervaka anställda?

Nej, det är inget direkt krav i GDPR, men det kan vara lämpligt att behöva göra det. Till exempel kan det vara ett måste om företaget övervakar de anställda systematiskt avseende hur de använder sin e-post eller liknande.

Ska de anställda bli informerade om behandlingen gällande övervakningen?

Ja, anställda har rätt att få information om behandlingen av deras personuppgifter och övervakningen på arbetsplatsen. Däremot behöver det inte som regel lämnas vid varje kontrolltillfälle, utan räcker oftast med att det sker en gång. Informationen bör ges skriftligen i ett integritetsmeddelande riktat för medarbetarna.

Biometriska uppgifter

En teknisk behandling som möjliggör identifiering av en person genom dennes fysiska, fysiologiska eller beteendemässiga kännetecken, utgör en behandling av biometriska uppgifter. Exempelvis avläsning av fingeravtryck eller ansiktsigenkänning för åtkomst till företagets IT-tjänster och system. 

Biometriska uppgifter utgör känsliga personuppgifter enligt GDPR

Enligt artikel 9 i GDPR, utgör biometriska uppgifter känsliga personuppgifter. Det är enligt huvudregeln förbjudet att behandla känsliga personuppgifter, men det finns några specifika undantag. Det är viktigt att tänka på att behandlingen av känsliga personuppgifter ställer högre krav än behandling av ”vanliga” personuppgifter. 

Vanliga frågor
Får arbetsgivare behandla biometriska uppgifter?

Ja, men arbetsgivaren måste ha en rättslig grund och tungt vägande skäl för att behandla biometriska uppgifter. Samtycke är normalt inte lämpligt att använda som rättslig grund, eftersom maktförhållandet mellan arbetsgivaren och arbetstagaren är ojämlikt.

Får skolor eller arbetsgivare använda biometriska uppgifter, såsom ansiktsigenkänning, för närvarokontroll?

Som huvudregel är svaret nej. I Sverige använde en skola ansiktsigenkänning för närvarokontroll av eleverna och skolan fick betala en sanktionsavgift för det.

Måste företag göra en konsekvensbedömning innan de använder biometriska uppgifter?

Det står inte uttryckligt reglerat i GDPR att företag måste göra en konsekvensbedömning innan de behandlar biometriska uppgifter. Däremot kan det behövas.

More about GDPR

Learn more about the basics

GDPR is a comprehensive regulatory framework that companies must comply with if they process personal data belonging to individuals within the EU/EEA area. In order to understand what a company should do in practice to comply with the GDPR, it is important to understand the basics of this EU regulation. For example, companies must have a legal basis for each individual processing, comply with the basic data protection principles, understand what consequences companies can have in the event of breaches of the GDPR, know what rights employees have and how personal data breaches should be handled.

Want to learn more?

Read more
Rulla till toppen