Minsta möjliga mängd. En enkel grundregel är att inte ha fler personuppgifter än nödvändigt. Har du information om en person ska det vara för ett i förväg bestämt ändamål. Du får inte samla in uppgifter i ett visst syfte och sedan använda dem för något annat ändamål. Kolla alltid att du har stöd i lagen när du tar in uppgifter.

Spara inte informationen. När informationen inte längre behövs för det syfte den samlades in, ska den tas bort. Skaffa rutiner för att gallra bland personuppgifterna.

Informera den det gäller. Du måste tala om att du samlar in personuppgifter om en viss person, vilka uppgifter det är och varför du gör det. Kommer du att lämna uppgifterna vidare till andra, måste du tala om det också. 

Du måste ha legal grund för att behandla personuppgifter. Du anses ha legal grund:

  • Om du är skyldig enligt lag att registrera uppgifterna, till exempel för att uppfylla skyldigheter i bokföringslagen.
  • Om det finns ett avtal som reglerar att vissa uppgifter ska registreras, som till exempel ett anställningsavtal, kundavtal och leverantörsavtal. 
  • Om personen det gäller har sagt okej till att uppgifterna registreras och informationen är relevant för er relation. Först måste du informera om att du kommer att spara uppgifterna och varför. Sedan ska kunden ge ett tydligt godkännande. Ett tyst samtycke eller en på förhand ikryssad ruta på en webbplats godtas inte. 
  • Om du kan visa att ditt företags intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privatliv.

Tre saker att göra

1. Se över säkerheten

De personuppgifter du har måste hanteras så att de inte stjäls, raderas oavsiktligt eller ändras av någon obehörig. Det är också viktigt att se över interna rutiner, till exempel vilka anställda som ska ha tillgång till vilka uppgifter, så att risken för incidenter minskar.   

2. Rapportera incidenter

Om du till exempel råkar ut för dataintrång eller blir av med personuppgifter på något sätt – skickar informationen fel, förlorar en laptop eller ett fysiskt dokument – måste du rapportera det till Datainspektionen inom 72 timmar. I vissa fall ska du också rapportera händelsen till de registrerade kunderna. Det är viktigt att du har en rutin för de här situationerna.   

3. Behöver du ett register?

Du kan vara skyldig att ha ett register som beskriver hur du hanterar personuppgifter. Små och medelstora företag är skyldiga att ha register om uppgiftsbehandlingen är regelbunden, ett hot mot människors rättigheter och friheter eller gäller känsliga uppgifter eller belastningsregister. Registret ska beskriva vem på företaget som är ansvarig för register och it-system, vad de används till, vilka typer av personer som förekommer i registren, vilken typ av uppgifter det gäller och på vilken rättslig grund de hanteras.

Dyrt att göra fel

Om du inte följer reglerna kan du få betala en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen.

Läs på

Sätt dig in i vad som gäller.