Känner du till att GDPR eller dataskyddsförordningen som den heter på svenska, även gäller för UF-företag? Har ditt företag även full koll på vad som krävs och vem i företaget som ansvarar för att förordningen följs?
GDPR tar upp hur företag får samla in och behandla personuppgifter dvs. all information som kan kopplas till en levande person. Detta kan till exempel vara namn, adress, personnummer, e-post, telefonnummer, ip-nummer, kontokortnummer och foton. Denna EU-förordning är superviktig att följa och står till och med över svensk lag. Vill du veta mer?
Rättslig grund och information
För att ni ens ska få samla in olika personuppgifter tex. vid försäljning och marknadsföring krävs det att ni har rättslig grund. I de flesta fall betyder detta för er del att någon ingår ett avtal med er, ger sitt samtycke eller att insamlingen grundas på berättigat intresse.
- Avtal: en person ingår ett avtal med er tex. genom att beställa er tjänst eller vara.
- Samtycke: när någon frivilligt skriftligt går med på att ni samlar in uppgifter tex. ger sin e-postadress under er marknadsundersökning för att få framtida erbjudanden.
- Berättigat intresse: när era intressen väger tyngre än personens och om behandlingen är nödvändig för ett speciellt ändamål . Detta kan gälla vid tex. direktmarknadsföring (reklam) till potentiella kunders brevlådor för att nå ut med er affärsidé (obs! berättigat intresse gäller inte för digitala utskick som e-post eller sms enligt marknadsföringslagen)
Kom ihåg att oavsett rättslig grund måste alltid personen få information om att ni kommer att spara hens uppgifter och varför. Om dessutom insamlandet grundas på samtycke måste hen även godkänna att ni samlar in uppgifterna.
Ni behöver därför vara mycket noga i kontakten med potentiella kunder och måste även alltid ange:
- Företagets namn, kontaktuppgifter och vem som är GDPR-ansvarig
- Vad ni ska ha uppgifterna till
- Vilken rättslig grund ni stödjer er på
- När ni kommer att radera uppgifterna
- Om ni tänker dela uppgifterna med någon och om ni delar med någon utanför EU/EES/Schweiz. t.ex Google (Ung företagsamhet råder er dock att inte dela med er av uppgifter till någon utanför EU/EES/Schweiz då detta innebär många krångliga regler)
- Vilka rättigheter den registrerade har att ändra eller ta bort sina uppgifter
Det kan hända att ni behöver uppge fler saker så läs igenom artikel 13 för att se vad som är aktuellt för just ert företag.
GDPR-ansvarig
Det smartaste sättet att få GDPR på plats är att direkt utse någon i företaget tex. admin som sätter sig in i förordningen. Hen bör då läsa in sig supernoga och även kartlägga följande frågor:
- Vilka personuppgifter kommer ni att behöva samla in?
- Vad ska ni göra med respektive uppgift?
- Vilken laglig rätt har ni till olika typer av insamlande?
- Vilka har tillgång till uppgifterna (internt och externt)?
- Hur ska personer (tex. kunder) kunna ändra eller ta bort sina uppgifter?
- Vilket datum skall uppgifterna raderas?
Det är mycket att ta ställning till. Så tänk därför på att bara samla in de uppgifter som ni verkligen behöver för att minska arbetsbördan och risken att något skall gå fel.
Kom även ihåg att aldrig någonsin samla in känsliga personuppgifter som i princip är förbjudna att behandla.
Samla in personuppgifter
Internt
Ni kommer såklart även att samla in en hel del personuppgifter om er inom företaget som namn, mailadresser, kontonummer, foton osv. Därför måste ni fixa någon form av internt register ( tex. i Excel) för att få full koll. I detta skriver ni in personuppgift, datum och var personuppgiften finns tex. bild på Anna, 20/9, Instagram och FB.
Register är viktigt för att ni inte av misstag ska göra något i strid med GDPR och snabbt och enkelt ska kunna radera uppgifter när så krävs (tex om någon i företaget vill detta som vid byte till ett annat UF-företag).
Som tur är räcker detta och ni behöver inte ha ett omfattande behandlingsregister som ”stora företag” eftersom ni förmodligen omfattas av undantagsbestämmelsen. Detta beror på att ni varken kan anställa (behandlingsregister krävs inte om man har färre än 250 anställda) och för att: behandlingen är tillfällig (bara under UF-året).
Tänk dock på att även nedanstående kriterier måsta vara uppfyllda för att ni skall omfattas av undantagsbestämmelsen. Insamlandet av personuppgifter får inte:
- medföra någon risk för medlemmarnas rättigheter och friheter
- omfatta känsliga personuppgifter (hälsa, religion eller lagöverträdelser) enligt artikel 9
Externt
Ni kommer troligen även att samla in en mängd externa personuppgifter framför allt i kontakten med potentiella och befintliga kunder. Detta kan tex. vara om ni:
- samlar in namn eller mailadresser i samband med er marknadsundersökning eller andra enkäter
- har en hemsida (samlar in ip-nummer)
- säljer er vara via webbshop
- säljer via sociala medier
- har ett bokningssystem där kunder kan boka er tjänst
- skickar ut nyhetsbrev eller marknadsföring till kunder
- har ett kontaktformulär på er hemsida
- säljer via telefon eller e-post tex.B2B
- lägger upp kundrecensioner på hemsidan
- delar bilder på era kunder (tex. på er hemsida)
GDPR vid försäljning
Om ni enbart säljer och samlar in information via telefon, e-post, eller på mässor och dylikt så räcker det att ni skickar med GDPR-informationen vid första kontakten. Detta kan vara vid anbudet, orderbekräftelsen, fakturan eller leveransen.
Men om ni säljer via er hemsida är det viktigt att ha användarvillkor, integritetspolicy och cookie policy på plats. Om ni skapat er hemsida via en gratistjänst är detta oftast redan ordnat men om ni designat den via ett publiceringsverktyg måste ni själva utforma dessa.
Ni får gärna ta en titt och hämta inspiration från mina villkor och policys för bloggen som ni hittar i sidfoten (längst ner på sidan). Men kolla framför allt in hur företag inom er bransch har formulerat sina vilket nog passar ert företag bättre.
Dessutom måste ni ha en ruta som kunden aktivt kryssar i för att följa GDPR, som i exemplet nedan.
Marknadsföring och personuppgifter
Det är också superviktigt att tänka på GDPR när ni marknadsför er vara eller tjänst via sociala medier. Detta i och med Schrems II-domen (2020) som fastställde att USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till landet. Amerikanska myndigheter kan nämligen i vissa fall kräva att få ut personuppgifter som importerats från EU till USA.
Tyvärr sker en överföring av personuppgifter till USA hos merparten av alla sociala medieplattformar. Därför är det klokt att undvika använda foton på kunder (som kan identifieras) eller andra personuppgifter i er marknadsföring på tex. Facebook, Linkedin och Instagram.
För att få lov att överföra personuppgifter till tredje land som tex.USA måste nämligen personen fått information om alla risker ( tex. övervakning av amerikanska myndigheter) och samtyckt till detta. Samtycket måste även vara uttryckligt, specifikt och väl informerat. Det ställs alltså extremt höga krav på utformningen.
Ni vet väl om att många sociala kanaler som tex Instagram dessutom har rätten att använda alla bilder och filmer ni lägger upp? När ni godkände användarvillkoren gav ni nämligen plattformen en icke-exklusiv licens att använda ert material och till och med licensiera ut era bilder och filmer till andra företag eller personer. Detta helt utan att behöva meddela er eller ge er ersättning trots att ni kanske har upphovsrätten till materialet. Så tänk alltid efter före vad ni lägger upp för något!
Lagring och radering
De flesta personuppgifter kommer ni säkert lagra i något program, någon webbtjänst eller i ett helt vanligt Excel-kalkylark. Detta skulle kunna vara:
- program; tex. Visma eller Fortnox där ni har leverantörs- och kundregister (för andra leverantörer kolla noga så att det finns ett personuppgiftsbiträdesavtal)
- webbtjänst* som hemsida, blogg, moln eller RSS där ni hanterar tex. ip-nummer, bilder och andra kunduppgifter (kontrollera att det finns ett personuppgiftsbiträdesavtal)
- Excel-kalkylark; internt och externt register över tex. alla personer som är med på era bilder på hemsidan eller sociala medier
*Kom ihåg att aldrig lagra personuppgifter i någon molntjänst utanför EU/EES.
Eftersom ni även har ett ansvar för att kunna ta bort uppgifter om kunder väljer att dra tillbaka sitt samtycke är det viktigt att ni har ordning och reda. Ha därför en tydlig struktur så ni vet var informationen finns så att ni lätt kan plocka bort något. Samtliga uppgifter (interna och externa) skall ni även radera i samband med att ni lägger ner ert UF-företag. Ställ därför in en påminnelse om att stänga ner era konton på tex. Visma eller Fortnox och radera alla era kalkylark i Excel senast i juni.
Tips för bilder och samtyckesblankett
Ett sista tips för att minimera ert arbete med GDPR är; att majoriteten av era bilder på hemsida och digitala plattformar ska bestå av foton där ni inte behöver ett samtycke av externa personer. Detta kan vara:
- gratis bilder med CC- licens som ni fritt får använda, bearbeta och sprida var ni vill
- foton på er inom företaget
- bilder där externa personer inte kan identifieras eftersom ansiktet syns bara lite grann snett från sidan eller är tagna från långt avstånd
- foton på personer utanför företaget där något filter används som gör att de inte kan identifieras
I dessa fall behöver ni inte plocka bort bilder och kan ha kvar er hemsida och digitala kanaler som ett härligt minne.
Om ni vill så ladda ner min grundmall för samtycke (inom EU/EES/Schweiz) så kan ni utgå från denna när ni designar er egen. För ni vill säkert ha med tex. er rådgivare på någon bild i er affärsplan och kanske på hemsidan.
Detta inlägg tar bara upp grundkraven i dataskyddsförordningen så tänk på att ni även läser in er ordentligt på allt som just ert företag behöver gällande GDPR . Den är omfattande och det är lätt att missa något vilket kan leda till höga böter. Så tveka inte att ta hjälp av er rådgivare eller UF-lärare och GDPR-säkra ert UF-företag!
Du kanske också gillar:
.
