fbpx

Dataskydd & integritet (GDPR)

Rådgivning inom dataskydd och integritet (GDPR) för dig som företagare eller dig som privatperson

  • Analys och rådgivning av skyldigheter och rättigheter
  • Upprättande av informationstexter, policyer och rutiner
  • Biträde i samband med eventuella personuppgiftsincidenter
  • Upprättande av personuppgiftsbiträdesavtal och biträde vid sådan avtalsförhandling
  • Konsekvensbedömningar och intresseavvägningar

Dataskydd och integritet genomsyrar de flesta verksamheterna

Enskilda individers personuppgifter är idag en tillgång som många företag slåss om och vill dra nytta av. För att ge dessa ett mer robust skydd trädde EU:s dataskyddsförordning (GDPR) i kraft den 25 maj 2018. Trots att det har gått några år sedan GDPR äntrade världen är området fortsatt i hetluften mot bakgrund av den föränderliga värld vi lever i där digitaliseringen och globaliseringen ständigt når nya höjder.

Alla företag och organisationer behandlar någon form av personuppgifter i sin verksamhet. Det kan till exempel vara personuppgifter som rör anställda, kunder eller leverantörer. Denna behandling av personuppgifter kräver i de flesta fall att GDPR efterlevs, vid äventyr av höga sanktionsavgifter. Området är omfattande och snårigt att navigera i. Vi på Ludvig & Co lotsar er gärna i vad som gäller för just er verksamhet samt ger er råd och stöttning i att vidta rätt åtgärder.

Rådgivning och biträde inom flera områden rörande dataskydd & integritet (GDPR)

Analys av er roll i förhållande till personuppgiftsbehandlingen i er verksamhet

Vad har ni för roll till GDPR? Vad är era skyldigheter i förhållande till regelverket? Är ni personuppgiftsansvariga eller personuppgiftsbiträden?  Vi hjälper er att reda ut vid vilken behandling av personuppgifter som ni är personuppgiftsansvariga för och vid vilka behandlingar ni är biträden samt era respektive skyldigheter och rättigheter till dessa roller med mera.

Rådgivning avseende lämpliga åtgärder

Efter att ha analyserat er roll i förhållande till GDPR och fått en bild av var ni står i dag ger vi er lämpliga och konkreta förslag på åtgärder för att säkerställa efterlevnad av regelverket.

Upprättande av informationstexter, policyer och rutiner

Mycket av arbetet med GDPR handlar om att ha väldokumenterade informationstexter, policyer och rutiner avseende hur ni behandlar personuppgifter i er verksamhet samt hur ni säkerställer att enskilda individers fri- och rättigheter säkerställs. Vi hjälper er att identifiera behovet av lämpliga dokument samt upprätta desamma.

Biträde vid personuppgiftsincidenter

Trots goda implementerade organisatoriska och tekniska åtgärder är det lätt hänt att olyckan ändå är framme – ni har drabbats av en personuppgiftsincident. GDPR ställer höga krav på hur ni bör agera i dessa fall. Ludvig & Co biträder er att agera korrekt enligt regelverket samt vidtar lämpliga åtgärder i samråd mer er.

Kontakt med tillsynsmyndigheten och registrerade respektive företag som behandlar dina personuppgifter

Vid behov kan vi, i egenskap av ombud för er, föra eventuella kontakter med Integritetsskyddsmyndigheten rörande behandlingen av personuppgifterna i er verksamhet. Vi kan också företräda dig som företagare gentemot en registrerad som riktat ett anspråk eller gjort gällande en rättighet gentemot er. Vi företräder även dig som är registrerad hos ett företag och som vill rikta ett anspråk eller göra gällande en rättighet gentemot företaget.

Personuppgiftsbiträdesavtal och avtalsförhandling

Eftersom det ibland är svårt att avgöra parternas respektive roll i förhållande till de personuppgifter som delas genom det avtal som tecknats mellan parterna kan det ibland uppstå diskussioner kring behovet av personuppgiftsbiträdesavtal. Vi hjälper er att reda ut er situation och när det är krav – upprätta ett passande personuppgiftsbiträdesavtal. Vid behov biträder vi er även i efterföljande avtalsförhandling.

Konsekvensbedömningar och intresseavvägningar

Viss behandling av personuppgifter kräver att man har gjort en konsekvensanalys om man bedömer att behandlingen sannolikt leder till en hög risk för enskilda personers fri- och rättigheter. Om ni behandlar personuppgifter med stöd av företagets ”berättigade intresse” som laglig grund måste ni kunna visa, genom en intresseavvägning att, era intressen väger tyngre än den registrerades samt att behandlingen är nödvändig för det aktuella ändamålet. Vi bistår er med rådgivning i samband med upprättandet av denna dokumentation.

Behöver du rådgivning inom dataskydd och integritet?

Med våra 130 kontor över hela Sverige så är våra jurister nära dig oavsett om du vill träffas fysiskt eller få hjälp på distans. Vid ett första möte tar vi tillsammans reda på vad ditt behov är. Sedan tar vi fram en plan för hur vi ska åstadkomma så du får den hjälp du behöver.

Kontakta oss!

Vanliga frågor och svar om dataskydd & integritet (GDPR)

Vad är en personuppgift?

Personuppgifter är all slags information, direkt såväl indirekt, som kan kopplas till en fysisk person som är i livet. Det kan röra direkta personuppgifter så som t.ex. namn, personnummer och foto. Men även indirekta personuppgifter så som IP-nummer eller ett registreringsnummer på en bil kan vara personuppgifter om uppgiften tillsammans med annan information kan kopplas till en person.

En företagsmail eller ett organisationsnummer till ett aktiebolag är inga personuppgifter. Om en person skriver ett mail från företagsmailen med undertecknande av sitt namn innehåller mailet dock personuppgifter även om själva mailet avsänds från företagsmailen. Likväl är ett aktiebolags organisationsnummer inte en personuppgift, däremot är organisationsnumret på en enskild firma en personuppgift.

Vad krävs för att få hantera personuppgifter?

För att få hantera personuppgifter måste man säkerställa att man efterlever GDPR. Det innebär bl.a. att de grundläggarna principerna måste iakttas. De grundläggande principerna ska genomsyra verksamheten vid behandlingen av personuppgifter. De innebär bl.a. följande:

  • ha stöd i dataskyddsförordningen för att få behandla personuppgifter,
  • informera de registrerade om hur behandlingen av personuppgifterna hanteras,
  • endast samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål,
  • inte behandla fler personuppgifter än vad som behövs för ändamålen
  • se till att personuppgifterna är riktiga,
  • radera personuppgifterna när de inte längre behövs,
  • skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs, och
  • kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.

Vem ansvarar för efterlevnaden av GDPR?

Det är den personuppgiftsansvariga som ansvarar för efterlevnaden av GDPR. Det är viktigt att förtydliga att det inte är den enskilda medarbetaren hos den personuppgiftsansvariga som har det yttersta ansvaret för att behandlingen sker enligt GDPR, även om medarbetaren givetvis skall följa företagets rutiner och instruktioner på området.

Ett personuppgiftsbiträde har ett ansvar att följa de instruktioner som den personuppgiftsansvariga lämnat och får inte behandla personuppgifterna på något annat sätt. Personuppgiftsbiträdet har även ett visst självständigt ansvar i att säkerställa att den behandling som efterfrågas i instruktionerna uppfyller de krav som ställs enligt regelverket och meddela den personuppgiftsansvariga om att personuppgiftsbiträdet anser att instruktionerna står i strid med GDPR. Om personuppgiftsbiträdesavtalet ger utrymme för anlitandet av så kallade underbiträden, måste personuppgiftsbiträdet även säkerställa att underbiträdet ger tillräckliga garantier om att skyldigheterna i regelverket kommer att uppfyllas och att de registrerades rättigheter skyddas.

Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?

Den som är personuppgiftsansvarig ansvarar för behandlingen av personuppgifterna och att detta görs enligt GDPR. Detta utgörs av en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Viktigt att notera att en enskild fysisk person som jobbar i ett företag aldrig kan vara personuppgiftsansvarig utan själva företaget i sig. Däremot kan en fysisk person vara personuppgiftsansvarig t.ex. om man driver en enskild firma.

För att bedöma vem som är personuppgiftsansvarig eller personuppgiftsbiträde behöver man titta på vem som bestämmer för vilka ändamål uppgifterna skall behandlas samt hur behandlingen skall gå till. Personuppgiftsbiträde är den fysiska eller juridiska person, offentliga myndighet, institution eller annat organ som behandlar personuppgifter på uppdrag av den personuppgiftsansvariga och vilken då skall följa de instruktioner som den personuppgiftsansvariga ger.

Kan man vara både personuppgiftsansvarig och personuppgiftsbiträde?

Man kan vara både personuppgiftsansvarig och personuppgiftsbiträde i sin verksamhet beroende på vilken typ av behandling det gäller. Man är t.ex. vanligtvis personuppgiftsansvarig för behandlingen av anställdas personuppgifter, medan man i samma verksamhet kan vara personuppgiftsbiträde om man utför behandling av personuppgifter åt en annan personuppgiftsansvarig. Ett exempel är om man är ett IT-konsultföretag som har tillgång till de personuppgifter som den personuppgiftsansvariga ansvarar för vid utförandet av IT-konsulttjänsterna.

Vad är ett personuppgiftsbiträdesavtal?

För att ett personuppgiftsbiträde skall kunna behandla de personuppgifter som den personuppgiftsansvariga ansvarar för åt den personuppgiftsansvariga måste ett personuppgiftsbiträdesavtal upprättas och undertecknas av parterna. Detsamma gäller om ett personuppgiftsbiträde anlitar någon annan för att utföra en del av behandlingen, d.v.s. ett underbiträde.

Ett personuppgiftsbiträdesavtal reglerar parternas skyldigheter i förhållande till varandra, GDPR och den registrerade. Personuppgiftsbiträdesavtalet reglerar vidare vilka personuppgifter som personuppgiftsbiträdet skall behandla, var de skall lagras, vilken säkerhetsnivå som skall uppnås och hur den personuppgiftsansvariga får kontrollera personuppgiftsbiträdet. Personuppgiftsbiträdet måste följa de instruktioner som den personuppgiftsansvariga lämnar i och med personuppgiftsbiträdesavtalet.

Våra tjänster inom affärsjuridik

Bostadsrättsjuridik

Redovisning

Kompanjonavtal

Arbetsrätt

Dataskydd & integritet (GDPR)

Obestånd