Link for page in English
Ek Juridiks logo

Korrekt hantering av personuppgifter

2025-09-17

Att hantera personuppgifter är en självklar del av de flesta verksamheter – men med GDPR följer också ett omfattande ansvar. Vad innebär det egentligen i praktiken, vilka risker finns vid bristande efterlevnad och hur kan du som företagare säkerställa att din hantering är korrekt?

Bild på domarklubba och träfigurer föreställande en familj

GDPR tillika dataskyddsförordningen gäller, med några få undantag, all behandling av personuppgifter och reglerar hur behandling av personuppgifter får ske. Alla uppgifter som kan knytas till en fysisk och identifierbar person är att anse som personuppgifter. Därmed är det många uppgifter som faller inom ramen för GDPR och dess tillämpningsområde. Med behandling menas allt man gör med personuppgiften, däribland lagrar, läser, kopierar, överför och samlar in. Även radering och förstöring av en personuppgift utgör behandling. Så gott som alla verksamheter innefattar någon form av behandling av personuppgifter. Det kan exempelvis avse registrering av personal, utskick av fakturor till kunder och insamling av kontaktuppgifter till kunder och representanter hos leverantörer.

För er som driver företag råder ett långtgående ansvar för behandlingen av personuppgifter i er verksamhet samt att man i och med det följer GDPR. Det innebär bland annat att det för varje behandling ska finnas en i förväg dokumenterad rättslig grund och ett tydligt ändamål med behandlingen. En rättslig grund är avtal. Denna rättsliga grund innebär att det föreligger ett avtal som gör behandling av personuppgifter nödvändig för att avtalet i sig ska kunna fullgöras. En annan rättslig grund är rättslig förpliktelse, det vill säga när det i lag eller förordning finns krav som medför att vissa personuppgifter på något sätt måste behandlas.

Utöver det måste alla principer för behandling av personuppgifter genomsyra behandlingen. Dessa innebär bland annat att behandlingen endast ska avse uppgifter som är adekvata, relevanta och inte för omfattande (principen om uppgiftsminimering). All behandling måste ha en klar och tydlig koppling till syftet med behandlingen. Samtidigt får behandlingen endast ske utifrån särskilda och uttryckligt angivna syften. Ingen behandling av personuppgifter får därför ske för att "det kan vara bra att ha". Vidare måste behandlingen i enlighet med principen om riktighet avse uppgifter som stämmer, vilket i sig medför att man som personuppgiftsansvarig är skyldig att rätta eller radera uppgifter som är felaktiga. Enligt principen om öppenhet krävs också att den information som ges till den enskilde är begriplig och att det är klart och tydligt varför dennes personuppgifter behandlas.

Risken med att inte följa GDPR är att man blir föremål för omfattande administrativa sanktionsavgifter. Den händelsen att personuppgifter hanteras på ett olovligt sätt eller att någon obehörig får tillgång till personuppgifter kan utgöra en personuppgiftsincident, vilket i sig också kan leda till administrativa sanktionsavgifter. I Sverige är det Integritetsskyddsmyndigheten som är tillsynsmyndighet.

För att möjliggöra uppföljning och säkerställa ett systematiskt dataskyddsarbete krävs såväl interna rutiner och riktlinjer, som regelbunden och noggrann uppföljning respektive tydlig dokumentation. Det krävs också utbildning och information till alla anställda. I alla dessa delar kan vi på Ek Juridik anlitas för råd, stöd och utbildning. Välkomna till oss!