När du driver ett bolag kommer du att på olika sätt hantera personuppgifter. Det kan exempelvis vara adresser till kunder, telefonnummer till anställda eller mejladresser till samarbetspartners. Dataskyddsförordningen, även kallad GDPR (General Data Protection Regulation), bestämmer hur du som företagare ska hantera personuppgifter och vilka skyldigheter du har. Syftet med GDPR är att skydda individer från att deras personuppgifter samlas in, säljs eller utnyttjas utan deras vetskap. Som företagare måste du därför vara transparent med vilka uppgifter du samlar in och varför. 

Börja med att fundera på vilka personuppgifter du samlar in eller kommer att samla in i ditt bolag. Som personuppgift räknas den information som direkt eller indirekt kan knytas till en levande person, exempelvis namn, personnummer, mejladress eller telefonnummer. Organisationsnummer för enskild firma räknas till exempel som personuppgift. Särskilt känsliga personuppgifter enligt GDPR är etniskt ursprung, religion, politiska åsikter, uppgifter om ens hälsa eller sexuella läggning. En bra utgångspunkt är att bara samla in de personuppgifter som är nödvändiga för verksamheten. Om du aldrig ska posta något till dina kunder är det onödigt att ha deras adresser. Enligt GDPR måste det finnas ett syfte med alla personuppgifter som bolaget vill hantera. Det är exempelvis olämpligt om bolaget samlar in personuppgifter endast för att dessa kan vara bra att ha i framtiden. 

Varje personuppgift bolaget samlar in måste ha en rättslig grund för att vara laglig enligt GDPR. De rättsliga grunderna för dig som företagare är:

• Avtal - personuppgifter bolaget behöver för att exempelvis kunna ingå anställningsavtal, kundavtal eller leveransavtal. 
• Intresseavvägning - bolaget kan visa på ett berättigat behov som väger tyngre än individens enskilda rätt till skydd. Ändamålet måste vara tydligt formulerat och bolagets bedömning av behovet dokumenterad. 
• Rättslig förpliktelse - exempelvis personuppgifter bolaget behöver för att uppfylla bokföringslagen eller andra lagar och regler. 
• Samtycke - individen har samtyckt till att du samlar in och registrerar dennes personuppgifter. Bolaget måste tydligt berätta vilka uppgifter det samlar in och vad de ska användas för. Det ska även finnas ett ändamål och personuppgifterna får inte användas till något annat utan att du inhämtar ett nytt samtycke.

När bolaget samlar in personuppgifter är det viktigt att kartlägga var och hur dessa ska sparas. Hur säkerställer bolaget att ingen utomstående kan få tag på uppgifterna? Personuppgifterna får inte ligga framme utan kontroll om vem som har tillgång till dem. Om personuppgifterna finns digitalt ska bolaget ha säkra lösenord och en tydlig strategi för hur man undviker att uppgifterna riskerar att hamna i fel händer. Om känsliga personuppgifter kommer att hanteras finns det särskida krav i GDPR som bolaget behöver ha koll på och särskilda system kan behöva installeras för hantering av dessa personuppgifter. 

Bolaget bör ha en öppet tillgänglig integritetspolicy på hemsidan där det tydligt framgår för besökarna vilka personuppgifter som bolaget hanterar och hur dessa hanteras. Integritetspolicy bör även beskriva hur individen kan kolla upp om det finns personuppgifter sparade på dem och hur de kan begära att de ska raderas. Bolaget bör även skapa ett internt dokument som beskriver vilka personuppgifter som samlas in och varför, vilka rättsliga grunder enligt GDPR de samlas in på och hur bolaget ser till att hålla uppgifterna säkra. Bolaget ska också ha en handlingsplan för vad som ska göra om personuppgifterna läcker ut, hamnar i fel händer eller hanteras på ett oaktsamt sätt. 

Om en planerad behandling av personuppgifter i ditt bolag sannolikt kommer att bryta mot GDPR, kan bolaget få en varning från Datainspektionen. Om en överträdelse mot GDPR sker kan Datainspektionen utfärda en reprimand angående bristerna och bolaget måste rätta sig. Om bolaget inte bättrar sig kan rätten att samla in personuppgifter dras in eller begränsas. Beroende på vilken bestämmelse i GDPR som en överträdelse gäller kan Datainspektionen utfärda höga sanktionsavgifter.