,

Jag driver ett litet företag och får in uppgifter från mina kunder, till exempel namn, personnummer, mail och telefonnummer. Jag lämnar ut uppgifter om personerna till Skatteverket när jag begär RUT-avdrag. Jag skickar inte ut någon reklam. Vad måste jag tänka på när GDPR träder ikraft?

Generellt så kan alla företag, förutom väldigt stora och sådana som hanterar särskilt känsliga uppgifter, tänka på samma sätt:

– Är det personuppgifter vi har fått in? I ditt fall skulle jag säga att exemplen som du räknar upp är personuppgifter.

– Vilken information måste jag lämna ut? Jag kan understryka att det är en hel del information som måste lämnas! Bland annat: vem du är, vad du ska göra med personuppgifterna, om du har för avsikt att lämna över uppgifterna till någon tredje part, hur länge du tänker lagra uppgifterna samt att personen har rätt att få uppgifterna ändrade, borttagna, överförda, att hen har rätt att ta tillbaka givet samtycke samt att denne kan klaga till Datainspektionen om hen bedömer att du bryter mot GDPR.

– Behöver jag inhämta samtycke till att spara personuppgifterna? För att svara på den frågan måste du ta ställning till varje enskild uppgift och om du behöver uppgifterna för avtalet eller för att hålla dig till lagen (till exempel för att inte Skatteverket ska få spel). Om du är osäker så bör du inhämta samtycke i samband med att du lämnar informationen som du måste lämna, se ovan.

Robert Klackenborn

Biträdande jurist på Ejder Advokatbyrå. Arbetar mestadels med affärsjuridik, speciellt nöjesjuridik, avtalsrätt och förhandlingar samt IT-rätt (däribland GDPR).

www.ejderadvokat.se