Är mitt företag personuppgiftsansvarigt?

Nästan säkert ja, för behandlingar som kundregister, personalregister och leverantörsregister. Personuppgiftsansvarig är den som bestämmer ändamål och medel för behandlingen, vilket företaget gör för sina egna register.

Behöver vi biträdesavtal med vår SaaS-leverantör?

Ja, enligt Art. 28. Varje SaaS-leverantör som behandlar personuppgifter för företagets räkning är biträde och kräver biträdesavtal. Avtalet ska reglera behandlingens ämne, varaktighet, art, ändamål, säkerhetsåtgärder, underbiträden och stöd vid registrerades begäran.

Hur länge får vi spara personuppgifter?

Bara så länge det är nödvändigt för ändamålet (principen om lagringsminimering). Lagringstid ska dokumenteras per behandling i registerförteckningen. Rättslig förpliktelse som bokföringslagen kan kräva längre lagring för vissa uppgifter (typiskt sju år för bokföring).

Måste vi utse en DPO?

Bara om företaget är offentlig myndighet, bedriver systematisk övervakning i stor skala eller behandlar känsliga personuppgifter i stor skala (Art. 37). De flesta privata svenska företag behöver inte formellt DPO men utser ofta en dataskyddssamordnare som intern kontaktpunkt.

Vad händer vid en IMY-tillsyn?

IMY begär in dokumentation, främst registerförteckning, integritetspolicy, DPIA där det krävs och incidentregister. Tillsynen kan vara skriftlig eller innefatta platsbesök. Företaget har skyldighet att samarbeta. Bristande dokumentation är en av de vanligaste sanktionsgrunderna.

Hur hanterar vi amerikanska molnleverantörer?

Sedan juli 2023 finns EU-US Data Privacy Framework (DPF) som adekvansbeslut för USA-överföringar. För leverantörer som är certifierade enligt DPF kan överföring ske direkt. För leverantörer som inte är DPF-certifierade krävs standardavtalsklausuler plus Transfer Impact Assessment och eventuella kompletterande åtgärder.

GDPR för företag: praktisk genomgång för personuppgiftsansvariga

Företagets roll: personuppgiftsansvarig

Nästan alla svenska företag är personuppgiftsansvariga (controllers) för huvuddelen av sina behandlingar. Kund-, personal-, leverantörs-, marknadsförings- och besökarregister ligger typiskt under företagets ansvar.

Ansvaret enligt Art. 24 innebär att företaget ska kunna visa att behandlingarna sker enligt GDPR:s principer. Ansvarsskyldigheten är inte ett symboliskt krav: dokumentation, rutiner och utbildning är centrala.

Om företaget köper in SaaS-tjänster eller outsourcar support, är leverantören typiskt biträde (processor) och ett biträdesavtal enligt Art. 28 krävs.

Registerförteckning enligt Art. 30

Registerförteckningen (records of processing activities) är det första IMY brukar be om vid tillsyn. Ett fungerande register innehåller per behandling:

Ändamål med behandlingen
Kategorier av registrerade (kunder, anställda, leverantörskontakter)
Kategorier av personuppgifter (identifikations-, kontakt-, känsliga)
Kategorier av mottagare (internt, biträden, tredjeland)
Tredjelandsöverföringar och överföringsmekanism
Planerade lagringstider
Tekniska och organisatoriska säkerhetsåtgärder

Rättslig grund: välj klokt

Art. 6 kräver en rättslig grund för varje behandling. Samtycke är den mest synliga grunden men ofta den svagaste: det kan återkallas när som helst och är i anställningsförhållanden i princip aldrig frivilligt.

För de flesta affärsmässiga behandlingar är avtal (Art. 6.1 b), rättslig förpliktelse (Art. 6.1 c) eller berättigat intresse (Art. 6.1 f) starkare. Berättigat intresse kräver dokumenterad intresseavvägning: företagets intresse ska vägas mot den registrerades intresse av skydd.

För känsliga personuppgifter (Art. 9) krävs särskilt undantag. Dataskyddslagen (SFS 2018:218) ger svenska kompletterande grunder, bland annat för arbetsrätt och socialförsäkring.

Biträdesavtal enligt Art. 28

Varje SaaS-leverantör, molntjänst och extern support som behandlar personuppgifter för företagets räkning är biträde och kräver biträdesavtal. Avtalet ska innehålla:

Ämne, varaktighet, art och ändamål för behandlingen
Kategorier av personuppgifter och registrerade
Parternas skyldigheter
Att biträdet endast behandlar uppgifter enligt dokumenterade instruktioner
Konfidentialitetsåtagande för biträdets personal
Lämpliga säkerhetsåtgärder per Art. 32
Villkor för underbiträden
Stöd till personuppgiftsansvarig vid registrerades begäran
Stöd vid incidenthantering och DPIA
Radering eller återlämning av uppgifter vid kontraktets slut
Rätt till audits och inspektioner

Tredjelandsöverföringar och Schrems II

Överföring av personuppgifter till länder utanför EU/EES kräver en överföringsmekanism enligt kapitel V. Efter EU-domstolens dom i Schrems II (C-311/18) och efterföljande EDPB-guidelines gäller:

Adekvansbeslut. Länder med EU-kommissionens godkännande (bland annat Storbritannien, Schweiz, Kanada för kommersiell behandling, USA via Data Privacy Framework).
Standardavtalsklausuler (SCC). EU-kommissionens mallklausuler med kompletterande tekniska och organisatoriska åtgärder efter en Transfer Impact Assessment (TIA).
Bindande företagsregler (BCR). För internationella koncerner, efter godkännande av tillsynsmyndighet.

Registrerades rättigheter i praktiken

Företaget måste kunna hantera registrerades begäran inom 30 dagar (Art. 12.3), med möjlighet till två månaders förlängning vid komplicerade ärenden. Praktiska krav per rättighet:

Registerutdrag (Art. 15). Process som samlar alla uppgifter om personen från alla system.
Rättelse (Art. 16). Möjlighet att korrigera felaktiga eller ofullständiga uppgifter.
Radering (Art. 17). Tekniskt stöd att faktiskt radera, inte bara maskera. Undantag gäller för bland annat rättslig förpliktelse (bokföringslagen).
Begränsning (Art. 18). Pausa behandling utan att radera.
Dataportabilitet (Art. 20). Strukturerat, maskinläsbart format för samtycke- eller avtalsbaserad behandling.
Invändning (Art. 21). Obligatoriskt stopp för direktmarknadsföring. Intresseavvägning för övrigt.
Automatiserat beslutsfattande (Art. 22). Rätt till mänsklig inblandning vid beslut med rättsverkningar eller motsvarande betydande effekt.

Säkerhetsåtgärder enligt Art. 32

Företaget ska vidta lämpliga tekniska och organisatoriska åtgärder utifrån risken. Art. 32 listar fyra kategorier:

Pseudonymisering och kryptering
Förmåga att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft
Förmåga att återställa tillgänglighet och åtkomst vid fysisk eller teknisk incident
Process för regelbunden testning, bedömning och utvärdering

DPO: obligatorisk eller frivillig?

Art. 37 kräver att företaget utser en DPO (dataskyddsombud) i tre fall: offentlig myndighet, kärnverksamhet som innebär systematisk övervakning av registrerade i stor skala, eller kärnverksamhet som innebär storskalig behandling av känsliga personuppgifter.

De flesta privata svenska företag faller inte in i något av dessa fall och behöver inte en formell DPO. Många utser ändå en dataskyddssamordnare för att ha en intern kontaktpunkt, vilket också underlättar samspelet med IMY vid incidenter. DPO ska vara oberoende, rapportera till högsta ledningen och får inte missgynnas på grund av sitt uppdrag.

Styrning, utbildning och rutiner

GDPR kräver inte formellt en dataskyddspolicy, men ansvarsskyldigheten förutsätter i praktiken ett skrivet ramverk. Ett rimligt GDPR-ramverk för medelstort svenskt företag omfattar:

Dataskyddspolicy godkänd av ledningsgrupp
Registerförteckning som uppdateras löpande
Rutin för registrerades rättigheter
Incidentprocess med 72-timmarsklocka mot IMY
Bibliotek av mall-biträdesavtal och mall-DPIA
Transfer Impact Assessment-metodik för tredjelandsöverföringar
Årlig dataskyddsutbildning för all personal
Fördjupad utbildning för systemägare, HR, marknad och IT-säkerhet
Årlig intern revision med rapport till styrelse eller VD

Företagets kontrakt: säljledet och köpledet

GDPR påverkar både sälj- och inköpsavtal. I säljledet: kunder med höga compliance-krav kommer kräva biträdesavtal som bilaga, svara på säkerhetsfrågor och ibland revidera leverantören. I inköpsledet: varje SaaS-licens bör ha ett biträdesavtal granskat innan systemet tas i drift. Standardklausuler för tredjelandsöverföring är ofta en förhandlingspunkt.

Praktisk rekommendation: bygg ett bibliotek med företagets egen biträdesavtalsmall. Vissa leverantörer accepterar den direkt; andra har egna som måste granskas mot företagets minimikrav.

Företagets roll: personuppgiftsansvarig

Om företaget köper in SaaS-tjänster eller outsourcar support, är leverantören typiskt biträde (processor) och ett biträdesavtal enligt Art. 28 krävs.

Registerförteckning enligt Art. 30

Registerförteckningen (records of processing activities) är det första IMY brukar be om vid tillsyn. Ett fungerande register innehåller per behandling:

Ändamål med behandlingen
Kategorier av registrerade (kunder, anställda, leverantörskontakter)
Kategorier av personuppgifter (identifikations-, kontakt-, känsliga)
Kategorier av mottagare (internt, biträden, tredjeland)
Tredjelandsöverföringar och överföringsmekanism
Planerade lagringstider
Tekniska och organisatoriska säkerhetsåtgärder

Rättslig grund: välj klokt

För känsliga personuppgifter (Art. 9) krävs särskilt undantag. Dataskyddslagen (SFS 2018:218) ger svenska kompletterande grunder, bland annat för arbetsrätt och socialförsäkring.

Biträdesavtal enligt Art. 28

Varje SaaS-leverantör, molntjänst och extern support som behandlar personuppgifter för företagets räkning är biträde och kräver biträdesavtal. Avtalet ska innehålla:

Ämne, varaktighet, art och ändamål för behandlingen
Kategorier av personuppgifter och registrerade
Parternas skyldigheter
Att biträdet endast behandlar uppgifter enligt dokumenterade instruktioner
Konfidentialitetsåtagande för biträdets personal
Lämpliga säkerhetsåtgärder per Art. 32
Villkor för underbiträden
Stöd till personuppgiftsansvarig vid registrerades begäran
Stöd vid incidenthantering och DPIA
Radering eller återlämning av uppgifter vid kontraktets slut
Rätt till audits och inspektioner

Tredjelandsöverföringar och Schrems II

Adekvansbeslut. Länder med EU-kommissionens godkännande (bland annat Storbritannien, Schweiz, Kanada för kommersiell behandling, USA via Data Privacy Framework).
Standardavtalsklausuler (SCC). EU-kommissionens mallklausuler med kompletterande tekniska och organisatoriska åtgärder efter en Transfer Impact Assessment (TIA).
Bindande företagsregler (BCR). För internationella koncerner, efter godkännande av tillsynsmyndighet.

Registrerades rättigheter i praktiken

Företaget måste kunna hantera registrerades begäran inom 30 dagar (Art. 12.3), med möjlighet till två månaders förlängning vid komplicerade ärenden. Praktiska krav per rättighet:

Registerutdrag (Art. 15). Process som samlar alla uppgifter om personen från alla system.
Rättelse (Art. 16). Möjlighet att korrigera felaktiga eller ofullständiga uppgifter.
Radering (Art. 17). Tekniskt stöd att faktiskt radera, inte bara maskera. Undantag gäller för bland annat rättslig förpliktelse (bokföringslagen).
Begränsning (Art. 18). Pausa behandling utan att radera.
Dataportabilitet (Art. 20). Strukturerat, maskinläsbart format för samtycke- eller avtalsbaserad behandling.
Invändning (Art. 21). Obligatoriskt stopp för direktmarknadsföring. Intresseavvägning för övrigt.
Automatiserat beslutsfattande (Art. 22). Rätt till mänsklig inblandning vid beslut med rättsverkningar eller motsvarande betydande effekt.

Säkerhetsåtgärder enligt Art. 32

Företaget ska vidta lämpliga tekniska och organisatoriska åtgärder utifrån risken. Art. 32 listar fyra kategorier:

Pseudonymisering och kryptering
Förmåga att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft
Förmåga att återställa tillgänglighet och åtkomst vid fysisk eller teknisk incident
Process för regelbunden testning, bedömning och utvärdering

DPO: obligatorisk eller frivillig?

Styrning, utbildning och rutiner

GDPR kräver inte formellt en dataskyddspolicy, men ansvarsskyldigheten förutsätter i praktiken ett skrivet ramverk. Ett rimligt GDPR-ramverk för medelstort svenskt företag omfattar:

Dataskyddspolicy godkänd av ledningsgrupp
Registerförteckning som uppdateras löpande
Rutin för registrerades rättigheter
Incidentprocess med 72-timmarsklocka mot IMY
Bibliotek av mall-biträdesavtal och mall-DPIA
Transfer Impact Assessment-metodik för tredjelandsöverföringar
Årlig dataskyddsutbildning för all personal
Fördjupad utbildning för systemägare, HR, marknad och IT-säkerhet
Årlig intern revision med rapport till styrelse eller VD

Företagets kontrakt: säljledet och köpledet

Praktisk rekommendation: bygg ett bibliotek med företagets egen biträdesavtalsmall. Vissa leverantörer accepterar den direkt; andra har egna som måste granskas mot företagets minimikrav.

GDPR för företag

Företagets roll: personuppgiftsansvarig

Registerförteckning enligt Art. 30

Rättslig grund: välj klokt

Biträdesavtal enligt Art. 28

Tredjelandsöverföringar och Schrems II

Registrerades rättigheter i praktiken

Säkerhetsåtgärder enligt Art. 32

DPO: obligatorisk eller frivillig?

Styrning, utbildning och rutiner

Företagets kontrakt: säljledet och köpledet

Svar på det vi oftast får frågor om

Är mitt företag personuppgiftsansvarigt?

Behöver vi biträdesavtal med vår SaaS-leverantör?

Hur länge får vi spara personuppgifter?

Måste vi utse en DPO?

Vad händer vid en IMY-tillsyn?

Hur hanterar vi amerikanska molnleverantörer?

Fortsätt läsa

GDPR för företag

Företagets roll: personuppgiftsansvarig

Registerförteckning enligt Art. 30

Rättslig grund: välj klokt

Biträdesavtal enligt Art. 28

Tredjelandsöverföringar och Schrems II

Registrerades rättigheter i praktiken

Säkerhetsåtgärder enligt Art. 32

DPO: obligatorisk eller frivillig?

Styrning, utbildning och rutiner

Företagets kontrakt: säljledet och köpledet

Svar på det vi oftast får frågor om

Är mitt företag personuppgiftsansvarigt?

Behöver vi biträdesavtal med vår SaaS-leverantör?

Hur länge får vi spara personuppgifter?

Måste vi utse en DPO?

Vad händer vid en IMY-tillsyn?

Hur hanterar vi amerikanska molnleverantörer?

Fortsätt läsa