Företag som behandlar personuppgifter behöver ha en dataskyddspolicy och beskriva ändamålet med behandlingen, säkerhetsåtgärder, rättigheter och skyldigheter m.m. Exempel på vanliga personuppgifter är namn, telefonnummer, personnummer, adress och andra uppgifter som kan identifiera en fysisk levande person.
Vilka företag behöver ha en dataskyddspolicy / integritetspolicy?
Enligt GDPR (Dataskyddsförordningen) behöver företag som behandlar personuppgifter ha en dataskyddspolicy, som även är kallad för integritetspolicy. I denna policy, ska företaget beskriva behandlingen av personuppgifterna. De personer, vars personuppgifter ni behandlar, ska ha möjlighet att läsa om behandlingen. Dessutom behöver företag ha en registerförteckning, loggbok och interna rutiner för att styrka att företaget verkligen följer GDPR.
Många företag behöver också ha ett peronuppgiftsbiträdesavtal. Om ett företag anlitar ett underbiträde, för att exempelvis bygga och sköta driften av en app, som därmed får tillgång till personuppgifter, behöver företaget ingå ett perspnuppgiftsbiträdesavtal. Observera att personuppgiftsbiträdesavtal ska vara skriftliga.
Företag behöver också vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. GDPR är ett brett område som berör de allra flesta företagen. På webbplatsen www.AvtalGDPR.se som är en del av Digitala Juristerna kan du läsa mer om bland annat tekniska och organisatoriska säkerhetsåtgärder som företag kan vidta och annan viktig information om GDPR.
