GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

GDPR inom näringslivet

Behandlingar av personuppgifter online 

Företag utför ofta behandlingar av personuppgifter online. Många personer runt om i världen befinner sig online på olika digitala plattformar i sin vardag, allt ifrån små barn till äldre personer.

GDPR Online

Internet har blivit en stor och viktig del av vårt dagliga liv. Vi använder internet och digitala plattformar till olika saker, såsom för att betala räkningar, beställa saker, kommunicera med vänner och mycket mer. När en individ gör detta, blir dennes personuppgifter behandlade av olika aktörer, på olika sätt och för olika syften. 

GDPR är en EU-förordning som bland annat reglerar hur personuppgifterna får behandlas, om de exempelvis tillhör en individ som bor inom EU. En utgångspunkt för företag som omfattas av GDPR är att tänka på att ju viktigare personuppgifterna är, desto högre är kraven. 

Onlinetjänster (Informationssamhällets tjänster)

Företag som bedriver onlinetjänster brukar i princip alltid utföra behandlingar av personuppgifter online. Exempel på onlinetjänster är sociala medier, e-handelsplattformar och sökmotorer. Det är viktigt att tänka på att många barn använder internet och onlinetjänster av olika slag, exempelvis spel eller sociala medier. När barn använder onlinetjänster, är reglerna striktare avseende behandling av barnens personuppgifter. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Barn har starkare skydd enligt bland annat GDPR

I och med att barn är en extra skyddsvärd grupp, har de ett starkare skydd än vuxna enligt GDPR. Detta beror bland annat på att barn kan ha svårare att förstå skyddsåtgärder, följder, risker och vilka rättigheter de har när det gäller behandling av deras personuppgifter. Skäl 38 i GDPR berör detta närmare. 

Åldersgränsen för ett giltigt samtycken från barn

Ett barn som har fyllt 16 år kan enligt GDPR lämna ett giltigt samtycke avseende behandling av sina personuppgifter. Men medlemsländer har rätt att sänka åldersgränsen enligt artikel 8 i GDPR. I Sverige är åldersgränsen sänkt till 13 år, vilket utgör den lägsta tillåtna åldersgränsen. Däremot framgår det i skäl 38 i GDPR att ett samtycke från ett barns förmyndare eller vårdnadshavare inte bör krävas, om det avser rådgivande eller förebyggande tjänster som erbjuds direkt till barn. Exempelvis rådgivning om missbruk, kriser eller andra former av stödlinjer online för barn och ungdomar.

Ha alltid FN:konventionen om barnets rättigheter i beaktande

Alla EU-länder har antagit FN:s konvention om barnets rättigheter (barnkonventionen). Dessutom har flera länder, såsom Sverige, antagit den som nationell lagstiftning. Det är bra för företag att alltid ha barnkonventionen i beaktande när företaget skapar en onlinetjänst som riktar sig till barn. 

Dataskydd som standard och inbyggt dataskydd

Det är viktigt att ha ett inbyggt dataskydd, eftersom det är ett krav för personuppgiftsansvariga enligt artikel 25 i GDPR. Det spelar ingen roll om det är ett nystartat företag eller ett multi miljardföretag. Kort sagt innebär detta att alla företag måste arbeta aktivt med att följa kraven i GDPR. Det innebär bland annat att företag måste: 

Implementera och erbjuda dataskyddsvänliga inställningar, såsom ge användaren en möjlighet att återkalla sitt lämnade samtycke. Det ska nämligen vara lika lätt att återkalla som att ge ett samtycke, enligt artikel 7.3 i GDPR.

Ha en rättslig grund för varje enskild behandling i enlighet med artikel 6 i GDPR.

Följa de sju grundläggande dataskyddsprinciperna enligt artikel 5 i GDPR.

Vidta tillräckliga organisatoriska och tekniska säkerhetsåtgärder i enlighet med artikel 32 i GDPR.

Cookies

Många webbplatser och applikationer använder cookies, vilket kan leda till behandlingar av personuppgifter online. Cookies är små textfiler som lagras på den enhet som används vid besök av webbplatsen eller applikationen (såsom en dator, mobil eller surfplatta). Det finns i stora drag två typer av cookies: nödvändiga och frivilliga. Reglerna är olika för dessa. Inom EU är det både GDPR och e-privacy direktivet som utgör grunden för den centrala lagstiftningen om cookies.

Krav för att behandla nödvändiga cookies

Nödvändiga cookies blir alltid använda, utan krav på användarens föregående samtycke. Det är dock viktigt att tänka på att dessa cookies måste vara absolut nödvändiga för att möjliggöra tillhandahållandet av en tjänst eller funktion som användaren har begärt. Exempelvis en cookie som gör det möjligt för en e-handelsplattform att minnas vad användaren har lagt till i sin varukorg, för att möjliggöra köpets slutförande.

Om ett företag endast använder nödvändiga cookies, ska företaget publicera och presentera ett cookiemeddelande för användaren. Däremot behöver företaget inte installera något cookieplugin för begäran om samtycke avseende dessa cookies.

Krav för att behandla frivilliga cookies

Om företaget vill använda frivilliga cookies, gäller följande:

Samtycke

Företaget måste få ett aktivt och frivilligt samtycke från användaren avseende användningen av dessa frivilliga cookies. Detta innebär till exempel att en samtyckesruta inte ska vara förkryssad. Dessutom ska det vara lika enkelt för användaren att återkalla samtycket som att ge det.

Restrict or ban processing

Informationskrav

Användaren ska bli informerad om behandlingen och de frivilliga cookies som företaget vill använda. Detta sker smidigt genom att företaget publicerar ett cookiemeddelande. Exempel på vad som ska framgå är vilka cookies som används, vad de fyller för funktion och syfte, hur länge de sparas, hur personen kan återkalla samtycket m.m.

Kommunikation

Företag kommunicerar väldigt mycket digitalt och lagrar även personuppgifter digitalt via olika plattformar för olika syften. Till exempel sker behandlingar av personuppgifter online genom att företagets medarbetare skickar e-post, sparar kunders telefonnummer i CRM-systemet, tar emot CV:n från potentiella medarbetare och mycket mer. Därför är det bra för företagare och medarbetare att känna till reglerna i GDPR, för att inte bryta mot regelverket och riskera att företaget döms att betala stora sanktionsavgifter. 

E-post

Även fast det inte finns några särskilda bestämmelser i GDPR gällande behandling av personuppgifter vid användning av e-post, finns det många generella regler som företaget måste ha i beaktande. Många e-postmeddelanden brukar nämligen innehålla personuppgifter och därmed gäller GDPR. 

Till exempel kan e-postadressen i sig vara en personuppgift, om den innehåller ett förnamn och/eller efternamn. Dessutom kan ett mejl innehålla personuppgifter, såsom avsändarens kontaktuppgifter (adress, telefonnummer, e-postadress), annan individs personuppgifter som förekommer i ett bifogat dokument eller liknande.

Kan arbetsgivaren skicka lönespecifikationer till de anställda via e-post?

Om lönespecifikationen innehåller information om sjukfrånvaro eller andra känsliga personuppgifter enligt artikel 9 i GDPR, ska arbetsgivaren inte skicka den via okrypterad e-post. Observera att det kan vara tillåtet att göra, om det sker genom krypterad e-post. Anledningen till varför företaget inte ska skicka det via okrypterad  e-post om det innehåller känsliga personuppgifter, är eftersom det inte är tillräckligt säkert. Med andra ord är säkerhetskraven högre vid behandling av känsliga personuppgifter, vilket lönespecifikationer brukar innehålla. 

HR

Företag behandlar personuppgifter regelbundet i sitt HR-arbete. Det sker från den tidpunkt företaget exempelvis tar emot ett CV från en arbetssökande, och pågår inom hela anställningsperioden för fullgörandet av arbetsgivarens arbetsrättsliga förpliktelser samt även viss tid efter anställningens upphörande. 

Subjektiva bedömningar kan vara mer integritetskänsliga

Företag kan vilja behandla personuppgifter som är kopplade till arbetstagarens prestationer och som kan ha en subjektiv karaktär. Till exempel huruvida en arbetstagare är duktig på sitt arbete, för att kunna vara en framtida referens eller se vem som är lämplig att bli befordrad.

Webbsidor

Reglerna kring behandlingar av personuppgifter online via webbsidor kan vara komplicerade, eftersom det kan ske på olika sätt och för olika syften. 

Glöm inte att informera om behandlingen

Många webbplatser publicerar ett kontaktformulär som användare kan använda för att kontakta företaget direkt. Det brukar ofta vara obligatoriskt för användaren att fylla i sitt namn och e-postadress, eventuellt även telefonnummer, för att företaget ska kunna besvara meddelandet. Dessa typer av uppgifter utgör personuppgifter enligt GDPR. Ett misstag som många företag gör är att de glömmer att informera om behandlingen innan användaren skickar meddelandet till företaget. 

Viktiga avvägningar

Yttrandefrihet

Många länder en yttrandefrihetslag, och om det utgör en grundlag såsom i Sverige, står grundlagen i vissa delar över GDPR. Om ett företag exempelvis har fått ett så kallat frivilligt utgivningsbevis i Sverige, är det tillåtet för företaget att behandla personuppgifterna på ett sätt som annars skulle stå i strid med GDPR.

Journalistiska ändamål

Reglerna vid behandling av personuppgifter för journalister är annorlunda än för ”vanliga företag”.

Order the company to comply with GDPR within a certain period of time

Marknadsföring, försäljning, sociala medier eller liknande

Om ett företag inom EU har publicerat en webbplats för att genomföra försäljning av sina varor eller tjänster, utföra marknadsföring eller liknande, eller använder sociala medier för att kommunicera med potentiella kunder, gäller GDPR för företaget.

Reglerna ser enligt GDPR olika ut beroende på syftet med behandlingen, vem den registrerade är, hur behandlingen sker i praktiken, genom vilka kanaler, etc. Därför är det viktigt att tänka på att det finns särskilda regler och undantag som kan vara tillämpliga. Med andra ord är reglerna inte samma om ett företag behandlar personuppgifter för att utföra marknadsföring eller om det sker för journalistiska ändamål. 

Info om GDPR

Olika roller inom GDPR

Det är viktigt att känna till de olika rollerna inom GDPR, eftersom reglerna skiljer sig åt mellan rollerna. Exempelvis är det viktigt att känna till vem som är personuppgiftsansvarig respektive personuppgiftsbiträde för en behandling, vad dataskyddsombudets roll innebär och vilken tillsynsmyndighet som är företagets ansvariga tillsynsmyndighet. Det är den personuppgiftsansvarige som bestämmer ändamålet med behandlingen av personuppgifterna. Den aktör som behandlar personuppgifter för den personuppgiftsansvariges räkning och i enlighet med dennes instruktioner, är personuppgiftsbiträde. Exempelvis en redovisningsbyrå som behandlar personuppgifter tillhörande kundföretagets anställda, för att genomföra löneutbetalningar till de anställda för kundföretagets räkning.

Vill du lära dig mer?

Klicka här
Rulla till toppen