Fråga: Vilka personuppgifter får behandlas?
Jag driver en mindre startup inom e-handel och har två anställda. Inom verksamheten har jag samlat på mig uppgifter om befintliga och potentiella kunder och leverantörer. Vilka uppgifter får jag egentligen behandla enligt GDPR?
Legalbuddy svarar

För att besvara frågan ytterligare måste några centrala begrepp inom GDPR först redas ut. 


Med personuppgift avses all information som direkt eller indirekt kan knytas till en (levande) person, exempelvis namn, adress, telefon och personnummer, foto m.m. Med behandling menas alla åtgärder som vidtas med personuppgifter, såsom insamling, registrering, lagring, överföring, m.m. Varje behandling av en personuppgift måste ha stöd i en rättslig grund i GDPR. Det finns sex rättsliga grunder vilka är samtycke, avtal, rättslig förpliktelse, den registrerades intresse av skydd, allmänt intresse/myndighetsutövning och s.k. berättigat intresse. 


Det korta svaret är att du får behandla de personuppgifter som du har anledning att behandla i din verksamhet. Varje behandling av personuppgifter måste hänföras till en rättslig grund och dessutom stå i proportion till ändamålet. En person vars uppgifter behandlas ska rimligen kunna förvänta sig en sådan behandling av dennes personuppgifter. Om ändamålet exempelvis är att skicka en såld jacka till en kund, så har du inget behov av att begära information om kundens skostorlek. Om du trots det vill ha kundens skostorlek så är det fritt fram att fråga kunden efter storleken, men du måste då också kunna visa att du har ett faktiskt behov av att behandla uppgift om skostorlek – att uppgifter rent allmänt ”är bra att ha” är inte tillräckligt för att det ska vara tillåtet att behandla uppgifterna. 


Ett annat krav som följer av GDPR är att personen vars personuppgifter behandlas måste informeras om detta. Informationen måste bland annat förklara hur personuppgifterna ska användas, hur länge dom sparas, om personuppgifterna ska delas med någon annan osv. 


Glöm inte att GDPR omfattar alla personuppgifter som behandlas av bolaget. Det betyder bland annat att det även ska finnas en rättslig grund för all behandling som genomförs av dina anställdas personuppgifter. 


Skapa ett biträdesavtal när någon annan processar data för din räkning. OBS gratistjänst

Skapa ett biträdesavtal när du processar data för någon annans räkning. OBS gratistjänst

Kommentarer

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image

Finns inte svaret på din fråga?

Skriv till oss så svarar vi inom 5 arbetsdagar.

Ställ en fråga

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan