Den allmänna dataskyddsförordningen (GDPR) är en EU-förordning som trädde i kraft den 25 maj 2018 och syftar till att skydda personuppgifter och individers integritet inom EU. Förordningen ersatte den tidigare svenska personuppgiftslagen (PUL) och innebär skärpta krav på hur företag och organisationer får hantera personuppgifter.
GDPR gäller för alla verksamheter som samlar in, lagrar eller behandlar uppgifter som kan knytas till en fysisk person, såsom namn, e-post, IP-nummer eller liknande. För företag innebär det både interna rutiner för hur data hanteras och externa krav på transparens och samtycke från användarna.
Inledningsvis ska sägas att vi inte har juridisk kompetens, men eftersom vi möter frågorna återkommande har vi ändå tillägnat oss en hyfsad förståelse inom de områden som är relevanta för oss tex webbutveckling, hosting och marknadsföring på nätet med de kundgrupper vi har som är mindre och medelstora företag.
Hur GDPR fungerar – grundläggande principer
GDPR bygger på flera centrala principer som ska genomsyra all personuppgiftsbehandling. Dessa kan sammanfattas i följande punkter:
Laglighet, korrekthet och öppenhet – Personuppgifter får endast behandlas om det finns en laglig grund, och målet med behandlingen måste vara tydligt för individen.
Integritetsskyddsmyndigheten
Ändamålsbegränsning – Uppgifter får endast samlas in för specifika, uttryckligt angivna och legitima ändamål.
Dataminimering – Bara de uppgifter som verkligen behövs får samlas in.
Korrekthet – Uppgifter ska vara korrekta och uppdaterade.
Lagringsbegränsning – Personuppgifter får inte lagras längre än nödvändigt.
Integritet och konfidentialitet – Uppgifter måste skyddas mot obehörig åtkomst.
Dessa principer bildar grunden för hur organisationer ska tänka kring dataskydd i sin verksamhet.
Grundläggande krav i GDPR – vad behöver göras?
För att komma igång med GDPR bör verksamheter börja med att:
1. Kartlägga personuppgiftsbehandling
Börja med att identifiera vilka personuppgifter som hanteras, i vilka system, och vilka som har tillgång till dem. Detta inkluderar både strukturerad data (t.ex. kundregister) och ostrukturerad data (t.ex. e-post och formulär).
2. Utse ansvariga och roller
Beroende på verksamhetens storlek kan det vara lämpligt att utse ett dataskyddsombud eller en ansvarig för att säkerställa compliance.
3. Se över lagliga grunder för behandling
GDPR kräver att all behandling av personuppgifter har en laglig grund – till exempel samtycke, avtal eller rättslig förpliktelse.
4. Utarbeta dokumentation och rutiner
Företag måste kunna visa hur de uppfyller GDPR. Det innebär dokumenterade rutiner för informationshantering, riskbedömningar, incidentrapportering, dataskyddspolicyer, säkerhetsrutiner och utbildning av personal.
5. Uppdatera avtal med tredje parter
Om extern part hanterar personuppgifter för din räkning – till exempel webbhotell, CRM-system eller e-posttjänster – måste det finnas ett personuppgiftsbiträdesavtal på plats.
6. Tydliggör samtycke
GDPR ställer krav på att samtycke ska vara frivilligt, specifikt, informerat och entydigt. Det innebär att användaren ska kunna välja vilka typer av behandling den accepterar.
Verktyg som hjälper till att följa GDPR
I praktiken används ofta tekniska lösningar för att säkra GDPR-efterlevnad:
- Integritetspolicy och cookie-policy – tydliga texter om hur personuppgifter används.
- Cookie-banner och Consent Management Platform (CMP) – dessa verktyg hjälper till att inhämta och lagra användarens samtycke för cookies.
- System för hantering av samtycke – för att automatisera vilka tjänster som får spåras baserat på användarens val.
Personuppgiftsbiträdesavtal – när och varför det behövs
Ett personuppgiftsbiträdesavtal (PUB-avtal) krävs när ett företag låter en extern part behandla personuppgifter för sin räkning. Avtalet reglerar hur personuppgifter får hanteras, vilka säkerhetsåtgärder som ska vidtas och vilket ansvar respektive part har enligt GDPR. Syftet är att säkerställa att personuppgifter behandlas lagligt, säkert och endast enligt givna instruktioner.
Inom webb och digitala tjänster behövs personuppgiftsbiträdesavtal till exempel när:
- ett webbhotell eller molntjänst lagrar kund- eller användardata
- en webbyrå hanterar formulär, statistik eller användarkonton
- analysverktyg som Google Analytics används
- e-post- och marketing automation-tjänster behandlar kontaktuppgifter
- CRM- eller supportverktyg är kopplade till webbplatsen
Utan giltiga personuppgiftsbiträdesavtal riskerar företaget att bryta mot GDPR, även om den tekniska lösningen i sig är korrekt.
GDPR i praktiken – varför det är viktigt
Att följa GDPR är inte bara en juridisk skyldighet. Det bygger också förtroende hos kunderna. Genom att vara transparent med hur data hanteras, ge individer kontroll över sina uppgifter och ha bra säkerhetsrutiner, skapas ett mer respektfullt digitalt förhållningssätt.
Bristande efterlevnad kan leda till höga böter – upp till 20 miljoner euro eller 4 % av företagets globala omsättning – och skada varumärket.
Nyare utveckling: DMA och Google Consent Mode v2
Sedan GDPR trädde i kraft har dataskyddslandskapet fortsatt att utvecklas. Ett viktigt exempel är Digital Markets Act (DMA), som började tillämpas från och med mars 2024 och kompletterar dataskyddsreglerna genom att ställa ytterligare krav på så kallade gatekeepers – stora digitala plattformar som Google, Apple, Meta och liknande. DMA syftar till att skapa mer rättvisa digitala marknader och kräver bland annat att användares samtycke hanteras strikt och transparent.
I kölvattnet av DMA har Google lanserat Google Consent Mode v2, en uppdaterad version av sitt samtyckeshanteringsverktyg. Denna version är inte bara ett verktyg för att respektera användarens val, utan blir också en nödvändig förutsättning för att kunna fortsätta använda Google-annonsering och analys inom EU/EES.
Med Consent Mode v2 kan företag dynamiskt justera hur Google-taggar (som används för Google Analytics och Google Ads) fungerar beroende på användarens samtycke. Systemet har två nya samtyckesstatusar: ad_user_data och ad_personalization, som avgör om data får användas för annonsering och personalisering.
Om en användare inte ger sitt samtycke kan Consent Mode v2 fortfarande samla in aggregerad och anonymiserad data som kan modelleras med hjälp av maskininlärning för att uppskatta konverteringsdata. Detta gör det möjligt att fortsätta dra nytta av analys och annonsering även när användare tackar nej till cookies.
Kom igång med GDPR – steg för steg
- Inventera personuppgiftshantering i alla system.
- Utarbeta dokumentation – policyer, rutiner och roller.
- Implementera CMP för att hantera samtycke korrekt.
- Uppdatera avtal med leverantörer och biträden.
- Utbilda personal i hantering av personuppgifter.
- Testa och följ upp – GDPR är inte klart med en punktinsats, utan kräver löpande arbete.
Hur vi kan hjälpa till
Att implementera GDPR korrekt kan vara en mycket komplex process som berör allt från juridik till teknik och kommunikation, där är inte vi.
Vi kan bistå med enklare praktisk vägledning kring GDPR i digitala miljöer, till exempel genom att identifiera berörda system, datatyper och situationer där personuppgiftsbiträdesavtal krävs. Det juridiska ansvaret för GDPR-efterlevnad och den formella bedömningen ligger dock alltid hos verksamheten eller dess juridiska rådgivare, då vi inte erbjuder juridisk rådgivning.
Vi kan hjälpa företag med:
- Kartläggning av personuppgiftsbehandling
- Utformning och uppdatering av integritetspolicyer
- Implementering av samtyckeslösningar (CMP och Consent Mode v2)
- Input kring lagliga grunder och processer
- Uppföljning, intern kunskapsutveckling och rutiner
För mindre verksamheter kan vi hjälpa till i en uppstart att komma igång med arebetet att implementera GDPR.
