Känner du till att GDPR eller Dataskyddsförordningen som den heter på svenska, även gäller för UF-företag? Har ditt företag även full koll på vad som gäller och vem i företaget som ansvarar för att lagen följs?

GDPR är en lag som tar upp hur företag får samla in och behandla personuppgifter dvs. all information som kan kopplas till en levande person. Detta kan till exempel vara namn, adress, personnummer, e-post, telefonnummer, ip-nummer, kontokortsnummer och foton.

Vad är gdpr

GDPR-ansvarig

Det smartaste sättet att få GDPR på plats direkt är att utse någon i företaget tex. admin som sätter sig in i lagen ordentligt. Hen ska då börja med att kartlägga följande frågor:

  • Vilka personuppgifter kommer ni att samla in?
  • Vad gör ni med dem?
  • Vilken laglig rätt har ni till insamlandet?
  • Vilka har tillgång till uppgifterna?
  • När skall uppgifterna raderas?

Tänk på att bara samla in de uppgifter som ni verkligen behöver för att minska arbetsbördan och risken att något skall gå fel.

Samla in personuppgifter

Internt

Ni kommer såklart att samla in en del personuppgifter om medlemmarna i företaget men i detta fall undantas ni troligen från lagen om internt register. Detta beror på att ni varken kan anställa (lagen gäller inte om man har färre än 250 anställda) och om:

  • behandlingen är tillfällig (bara under UF-året)
  • inte medför någon risk för medlemmarnas rättigheter och friheter
  • inte omfattar känsliga personuppgifter (hälsa, religion eller lagöverträdelser)

Tänk dock på att alla dessa kriterier måsta vara uppfyllda för att ni skall omfattas av undantagsbestämmelsen.

Externt

Ni kommer troligen även att samla in en mängd externa personuppgifter framför allt i kontakten med potentiella och befintliga kunder. Detta kan tex. vara om ni:

  • samlar in namn eller mailadresser i samband med er marknadsundersökning eller andra enkäter
  • har en hemsida (samlar in ip-nummer)
  • säljer er vara via webbshop
  • säljer via sociala medier
  • har ett bokningssystem där kunder kan boka er tjänst
  • skickar ut nyhetsbrev eller marknadsföring till kunder
  • har ett kontaktformulär på er hemsida
  • säljer via telefon eller mail
  • lägger upp kundrecensioner på hemsidan
  • använder bilder på era kunder på tex. era digitala kanaler

Avtal, samtycke och information

För att ni ska få samla in olika personuppgifter krävs det att ni har en rättslig grund. I de flesta fall betyder detta att kunden ingår ett avtal eller ger sitt samtycke. Kunden måste alltså först få information om att ni kommer att spara hens uppgifter och varför, och sedan även godkänna att ni gör det.

Ni behöver därför vara mycket noga i kontakten med potentiella kunder och alltid uppge:

  • Företagets namn, kontaktuppgifter och vem som är ansvarig
  • Vad ni ska ha uppgifterna till
  • Vilken rättslig grund ni stödjer er på
  • När ni kommer att radera uppgifterna
  • Om ni tänker dela uppgifterna med någon och om ni delar med någon utanför EU/EES. (T ex Google, Mailchimp)
  • Vilka rättigheter den registrerade har att ändra eller ta bort sina uppgifter

Det kan hända att ni behöver uppge fler saker så läs igenom artikel 13 för att se vad som är aktuellt för just ert företag.

Om ni enbart säljer och samlar in information via telefon, e-post, eller på mässor och dylikt så räcker det att ni skickar med informationen med orderbekräftelsen, fakturan eller leveransen.

Men om ni säljer via er hemsida är det viktigt att ha användarvillkor, integritetspolicy och cookie policy på plats. Om ni skapat er hemsida via en gratistjänst är detta oftast redan ordnat men om ni designat den via ett publiceringsverktyg måste ni själva utforma dessa.

Du får gärna ta en titt och hämta inspiration från mina villkor och policys för bloggen som du hittar i sidfoten (längst ner på sidan). Men kolla framför allt in hur företag inom er bransch har formulerat sina vilket nog passar ert företag bättre.

Dessutom behöver ni alltid ha en ruta som kunden aktivt måste kryssa i för att följa GDPR, som i exemplet nedan.

Lagring och radering

De flesta personuppgifter kommer ni säkert lagra i något program, någon webbtjänst eller i ett helt vanligt Excel-kalkylark. Detta skulle kunna vara:

  • program; tex. Visma eller Fortnox där ni har leverantörs- och kundregister
  • webbtjänst som hemsida, blogg, RSS eller Mailchimp där ni hanterar tex. ip-nummer, bilder och andra kunduppgifter
  • Excel-kalkylark; register över alla personer som är med på era bilder på tex. hemsidan eller sociala medier

Eftersom ni har ett ansvar för att kunna ta bort uppgifter om kunder väljer att dra tillbaka sitt samtycke är det viktigt att ni har ordning och reda. Ha därför en tydlig struktur så ni vet var informationen finns så att ni lätt kan plocka bort något. Samtliga uppgifter skall ni även radera i samband med att ni lägger ner ert UF-företag. Lägg därför in en påminnelse om att stänga ner era konton på tex. Visma, Mailchimp och radera alla era kalkylark i Excel senast i juni.

Samtycke för bilder

Ett tips är att majoriteten av era bilder på hemsidan och sociala kanaler skall vara bilder där ni inte behöver ett samtycke. Detta omfattar bilder där personerna inte kan identifieras eftersom tex. ansiktet syns från sidan eller något filter används. I dessa fall behöver ni inte plocka bort bilder och kan ha kvar er hemsida och sociala kanaler som ett härligt minne.

Om ni vill så ladda ner min grundmall för samtycke så kan ni utgå från denna när ni designar er egen.

Detta inlägg tar bara upp grundkraven i Dataskyddslagen så tänk på att ni även läser in er ordentligt på allt som just ert företag behöver gällande GDPR . Den är omfattande och det är lätt att missa något vilket kan leda till höga böter. Men å andra sidan om ni följer lagen kan det vara just det som avgör att kunderna vågar göra stora affärer med er!

.

Pin It on Pinterest