Vad är GDPR?
GDPR (General Data Protection Regulation) är EU:s dataskyddsförordning som reglerar hur företag får samla in, lagra och använda personuppgifter. I Sverige övervakas efterlevnaden av Integritetsskyddsmyndigheten (IMY).
Syftet är att ge privatpersoner kontroll över sina personuppgifter och skydda dem från missbruk.
Gäller GDPR din enskilda firma?
Ja, med allra största sannolikhet. GDPR gäller alla som behandlar personuppgifter — oavsett företagsform eller storlek. Du berörs om du:
- Har ett kundregister (namn, e-post, telefonnummer)
- Skickar nyhetsbrev eller marknadsföringsmail
- Har ett kontaktformulär på hemsidan
- Använder analysverktyg (Google Analytics) som samlar IP-adresser
- Säljer varor/tjänster online och lagrar kunddata
Undantag
GDPR gäller inte för rent privat bruk (din egen telefonbok). Men så fort du har en affärsrelation och lagrar kontaktuppgifter professionellt — då gäller GDPR.
Vad räknas som personuppgifter?
| Kategori | Exempel |
|---|---|
| Identitet | Namn, personnummer, foto |
| Kontakt | E-post, telefon, adress |
| Digitalt | IP-adress, cookies, enhets-ID |
| Ekonomi | Kontonummer, betalhistorik |
| Känsliga* | Hälsa, etnicitet, fackmedlemskap |
* Känsliga personuppgifter har extra skyddskrav under GDPR.
Behöver du bokföringsprogram?
Jämför Fortnox, Bokio och Spiris — hitta rätt bokföring för din firma.
Integritetspolicy
Du måste ha en integritetspolicy (dataskyddspolicy) om du samlar in personuppgifter. Den ska beskriva:
- Vem som är personuppgiftsansvarig (du/din firma)
- Vilka uppgifter du samlar in
- Varför du samlar in dem (ändamål)
- Rättslig grund — avtal, samtycke, berättigat intresse etc.
- Hur länge du lagrar uppgifterna
- Rättigheter — rätt att begära tillgång, radering, rättelse
- Kontaktuppgifter för frågor om personuppgifter
Tips
Placera integritetspolicyn synligt — i sidfoten på din hemsida, vid kontaktformulär och vid registrering. Använd enkelt språk.
Kundregister och lagring
Att ha ett kundregister är helt lagligt — men du måste följa GDPR:s principer:
- Ändamålsbegränsning: Samla bara in det du behöver
- Uppgiftsminimering: Lagra så lite som möjligt
- Lagringsminimering: Radera när det inte längre behövs
- Säkerhet: Skydda uppgifterna mot obehörig åtkomst
Hur länge får jag lagra uppgifter?
| Uppgift | Lagringstid |
|---|---|
| Bokföringsunderlag | 7 år (bokföringslag) |
| Kunddata vid avtal | Under avtalstid + ev. preskription |
| Nyhetsbrev-mottagare | Tills samtycke återkallas |
| Kontaktformulärdata | Tills ärendet avslutats |
Sanktioner vid GDPR-brott
IMY kan utfärda sanktionsavgifter vid GDPR-brott:
Allvarliga överträdelser
20 M EUR
eller 4 % av global omsättning
Övriga överträdelser
10 M EUR
eller 2 % av global omsättning
I praktiken
Små företag får vanligtvis en varning eller föreläggande vid första överträdelsen. De stora böterna riktas mot stora företag med systematiska brister.