För att besvara frågan ytterligare måste några centrala begrepp inom GDPR först redas ut. 

Med personuppgift avses all information som direkt eller indirekt kan knytas till en (levande) person, exempelvis namn, adress, telefon och personnummer, foto m.m. Med behandling menas alla åtgärder som vidtas med personuppgifter, såsom insamling, registrering, lagring, överföring, m.m. Varje behandling av en personuppgift måste ha stöd i en rättslig grund i GDPR. Det finns sex rättsliga grunder vilka är samtycke, avtal, rättslig förpliktelse, den registrerades intresse av skydd, allmänt intresse/myndighetsutövning och s.k. berättigat intresse. 

Det korta svaret är att du får behandla de personuppgifter som du har anledning att behandla i din verksamhet. Varje behandling av personuppgifter måste hänföras till en rättslig grund och dessutom stå i proportion till ändamålet. En person vars uppgifter behandlas ska rimligen kunna förvänta sig en sådan behandling av dennes personuppgifter. Om ändamålet exempelvis är att skicka en såld jacka till en kund, så har du inget behov av att begära information om kundens skostorlek. Om du trots det vill ha kundens skostorlek så är det fritt fram att fråga kunden efter storleken, men du måste då också kunna visa att du har ett faktiskt behov av att behandla uppgift om skostorlek – att uppgifter rent allmänt ”är bra att ha” är inte tillräckligt för att det ska vara tillåtet att behandla uppgifterna. 

Ett annat krav som följer av GDPR är att personen vars personuppgifter behandlas måste informeras om detta. Informationen måste bland annat förklara hur personuppgifterna ska användas, hur länge dom sparas, om personuppgifterna ska delas med någon annan osv. 

Glöm inte att GDPR omfattar alla personuppgifter som behandlas av bolaget. Det betyder bland annat att det även ska finnas en rättslig grund för all behandling som genomförs av dina anställdas personuppgifter.