Vilka personuppgifter får behandlas?

Kysymys:

Jag driver en mindre startup inom e-handel och har två anställda. Inom verksamheten har jag samlat på mig uppgifter om befintliga och potentiella kunder och leverantörer. Vilka uppgifter får jag egentligen behandla enligt GDPR?

Vastannut:

Tomas Jalling

Senior affärsjurist

Tomas har en bred bakgrund inom ledning och utveckling av juridiska funktioner, med erfarenhet från både privata företag och organisationer inom den offentliga sektorn. Genom LegalWorks har han haft flera tillfälliga roller som chefsjurist och bolagsjurist, där han har stöttat organisationer under perioder av tillväxt, omvandling och regeländringar. Hans arbete kännetecknas av pragmatiskt omdöme, tydlig kommunikation och en stark förmåga att översätta komplexa juridiska krav till kommersiellt förankrade lösningar.

Näytä profiili

För att besvara frågan ytterligare måste några centrala begrepp inom GDPR först redas ut. 


Med personuppgift avses all information som direkt eller indirekt kan knytas till en (levande) person, exempelvis namn, adress, telefon och personnummer, foto m.m. Med behandling menas alla åtgärder som vidtas med personuppgifter, såsom insamling, registrering, lagring, överföring, m.m. Varje behandling av en personuppgift måste ha stöd i en rättslig grund i GDPR. Det finns sex rättsliga grunder vilka är samtycke, avtal, rättslig förpliktelse, den registrerades intresse av skydd, allmänt intresse/myndighetsutövning och s.k. berättigat intresse. 


Det korta svaret är att du får behandla de personuppgifter som du har anledning att behandla i din verksamhet. Varje behandling av personuppgifter måste hänföras till en rättslig grund och dessutom stå i proportion till ändamålet. En person vars uppgifter behandlas ska rimligen kunna förvänta sig en sådan behandling av dennes personuppgifter. Om ändamålet exempelvis är att skicka en såld jacka till en kund, så har du inget behov av att begära information om kundens skostorlek. Om du trots det vill ha kundens skostorlek så är det fritt fram att fråga kunden efter storleken, men du måste då också kunna visa att du har ett faktiskt behov av att behandla uppgift om skostorlek – att uppgifter rent allmänt ”är bra att ha” är inte tillräckligt för att det ska vara tillåtet att behandla uppgifterna. 


Ett annat krav som följer av GDPR är att personen vars personuppgifter behandlas måste informeras om detta. Informationen måste bland annat förklara hur personuppgifterna ska användas, hur länge dom sparas, om personuppgifterna ska delas med någon annan osv. 


Glöm inte att GDPR omfattar alla personuppgifter som behandlas av bolaget. Det betyder bland annat att det även ska finnas en rättslig grund för all behandling som genomförs av dina anställdas personuppgifter. 


Redo att ta kontroll över din juridik?

Starta en kostnadsfri provperiod idag eller boka en kostnadsfri coaching med en jurist. Du förbinder dig inte till något, och du öppnar dörren till smidigare, säkrare juridik.