Många småföretagare i Stockholm tror att GDPR bara är något för stora koncerner med egna juridikavdelningar. Det stämmer inte. Dataskyddsförordningen gäller alla verksamheter som hanterar personuppgifter – och det gör praktiskt taget alla bolag, oavsett om du driver en redovisningsbyrå på Södermalm eller ett teknikföretag i Kista.
Vad GDPR faktiskt innebär för ditt bolag
GDPR, eller General Data Protection Regulation, trädde i kraft 2018 och reglerar hur personuppgifter får samlas in, lagras och användas. En personuppgift är all information som direkt eller indirekt kan kopplas till en levande person – namn, e-postadresser, IP-nummer, foton och kundnummer räknas alla dit.
Som företagare är du i de flesta fall personuppgiftsansvarig, vilket innebär att du ansvarar för att behandlingen sker lagligt. Om du anlitar ett externt lönesystem, ett CRM-verktyg eller en molntjänst som hanterar uppgifter på dina uppdrag, är den leverantören ditt personuppgiftsbiträde – och du måste ha ett skriftligt biträdesavtal på plats.
De vanligaste misstagen bland Stockholmsföretag
Integritetsskyddsmyndigheten (IMY) har under de senaste åren granskat allt fler svenska bolag, inklusive många SMF. De vanligaste bristerna handlar om:
- Saknade eller otydliga integritetspolicyer på hemsidan
- Cookies utan samtycke – att sätta analytiska eller marknadsföringscookies utan att besökaren aktivt tackat ja
- Otillräckliga biträdesavtal med leverantörer av e-posttjänster, bokföringsprogram och liknande
- Personuppgifter som sparas längre än nödvändigt, till exempel gamla kundregister som aldrig rensas
- Bristande rutiner vid dataintrång – IMY ska i de flesta fall meddelas inom 72 timmar
Praktiska steg för att komma i ordning
1. Kartlägg vilka uppgifter du hanterar
Börja med att förstå vilket flöde av personuppgifter som faktiskt existerar i verksamheten. Vilka uppgifter samlar du in om kunder och anställda? Var lagras de – i ett lokalt system, i molnet eller hos en tredje part? En enkel lista i ett kalkylark räcker för de flesta SMF.
2. Se till att du har en rättslig grund
All behandling av personuppgifter måste vila på en av de rättsliga grunder som GDPR anger. De vanligaste för företag är avtal (du behöver uppgifterna för att fullfölja ett köp), rättslig förpliktelse (till exempel bokföringslagen) och samtycke (marknadsföring via e-post till privatpersoner). Samtycke ska vara frivilligt, specifikt och enkelt att återkalla.
3. Uppdatera integritetspolicyn
En integritetspolicy ska finnas på din webbplats och förklara vilka uppgifter du samlar in, varför, hur länge de sparas och vilka rättigheter den registrerade har. Den behöver inte vara lång, men den måste vara tydlig och ärlig.
4. Gör en enkel riskbedömning
Hanterar ditt bolag känsliga uppgifter, till exempel hälsodata eller uppgifter om barn, krävs en mer ingående konsekvensbedömning. För de flesta vanliga SMF räcker det med en kortare intern genomgång av risker och skyddsåtgärder.
Vad kostar det att strunta i det?
IMY kan utfärda böter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen – det som är högst. För ett litet bolag kan även de lägre nivåerna bli kännbara. Minst lika allvarligt är skadan mot förtroendet. Kunder och samarbetspartners i Stockholm har blivit alltmer medvetna om dataskyddsfrågor, och ett dataintrång som uppmärksammas kan få långtgående affärsmässiga konsekvenser.
Hjälp att få
Stockholms Handelskammare och IMY erbjuder vägledning och checklistor anpassade för mindre verksamheter. Det finns också ett växande ekosystem av jurister och konsulter i Stockholm som specialiserat sig på GDPR-rådgivning för SMF, ofta till fasta paketpriser som passar en begränsad budget.
GDPR är inte en engångskontroll utan ett löpande arbete. Men med rätt struktur på plats tar det varken lång tid eller stora resurser – och du slipper obehagliga överraskningar.