Måste även mindre företag följa GDPR?

Fråga:

Jag har startat ett nytt bolag tillsammans med två kompisar som sysslar med programmering på konsultbasis. Alla våra kunder är företag och vi har inga andra anställda än oss själva. Vi har hört att de nya reglerna i GDPR framförallt gäller större företag, såsom banker och försäkringsbolag, som hanterar mängder av persondata. Stämmer verkligen det? Eller måste vi ta med GDPR i våra planer?

Besvarad av:

Tomas Jalling

Senior affärsjurist

Tomas har en bred bakgrund inom ledning och utveckling av juridiska funktioner, med erfarenhet från både privata företag och organisationer inom den offentliga sektorn. Genom LegalWorks har han haft flera tillfälliga roller som chefsjurist och bolagsjurist, där han har stöttat organisationer under perioder av tillväxt, omvandling och regeländringar. Hans arbete kännetecknas av pragmatiskt omdöme, tydlig kommunikation och en stark förmåga att översätta komplexa juridiska krav till kommersiellt förankrade lösningar.

Visa profil

Alla som behandlar personuppgifter behöver följa GDPR (dataskyddsförordningen). Behandling av personuppgifter avser alla åtgärder som vidtas med personuppgifter, allt från insamling till radering. Det kan exempelvis gälla lagring, användning, registrering, utlämnade m.m. När ett företag exempelvis anställer en person kommer personuppgifter att behandlas, vilket betyder att reglerna i GDPR måste följas. Reglerna i GDPR måste även följas när ett företaget får en ny kund, oavsett om det handlar om en företagskund där kontaktpersonen är en fysisk person eller om det handlar om en konsument. Det är därför ytterst sällsynt, kanske till och med omöjligt, för ett företag att inte behandla personuppgifter. 


Vissa företag måste lägga mer vikt vid GDPR än andra. Avgörande för detta är t.ex. om bolaget behandlar känsliga personuppgifter eller om behandling av personuppgifter sker i stor skala. Grundprinciperna i GDPR syftar till att motverka att personuppgifter samlas in, behandlas och lagras i större utsträckning än nödvändigt i förhållande till syftet. 


Det är bra att redan nu tänka på GDPR eftersom ju tidigare man introducerar och anpassar GDPR i sin verksamhet, desto smidigare blir det att efterleva reglerna i GDPR framöver. Börja med att analysera vilka personuppgifter (dvs data som kan kopplas till en fysisk person) ni behandlar eller lagrar. Därefter kan man bestämma vilka rutiner som ni bör ha på plats. I stor utsträckning handlar det om enkla rutiner som att informera de personer som ni registrerar och att skydda data från obehörig åtkomst.


Redo att ta kontroll över din juridik?

Starta en kostnadsfri provperiod idag eller boka en kostnadsfri coaching med en jurist. Du förbinder dig inte till något, och du öppnar dörren till smidigare, säkrare juridik.