Integritetspolicy

Vad är en integritetspolicy? 

En integritetspolicy förklarar hur ert företag använder, samlar in och lagrar personuppgifter. Det är ett publikt dokument som riktar sig till en definierad grupp mottagare (till exempel kan mottagarna vara de som använder ert företags tjänst eller de som ni riktar in er mot för marknadsföring). Vanligtvis finns integritetspolicyn tillgänglig på företagets webbsida men det är även vanligt att hänvisa till integritetspolicyn när kunder ska köpa en tjänst. 

När ska du upprätta en integritetspolicy? 

Att upprätta en integritetspolicy är en viktig del för uppnå de krav som ställs i GDPR. En integritetspolicy ska ge tydliga besked om vilka personuppgifter (all information som indirekt eller direkt går att koppla till en fysisk person) som ni använder, hur och var ni lagrar personuppgifter, hur ni fått tillgång till personuppgifterna och om personuppgifterna överförs till länder utanför EU/EES. Policyn måste även innehålla information om rättigheter för de vars personuppgifter ni använder er av. Sådana rättigheter är bland annat rätten till tillgång, rätten till radering samt rätten till kopia av de personuppgifter ni har om personen som begär kopian.

För webbsidor bör integritetspolicyn informera om, samt hur, personuppgifter samlas från personer som besöker webbsidan. Om ni samlar in personuppgifter från tredje part bör ni informera om detta i  i synnerhet. Om ni använder cookies bör ni även ta fram en cookie policy. En cookie policy är specifik information om hur ni använder cookies och andra spårningsverktyg som används för att samla in personuppgifter.

Utöver att hjälpa ert företag att följa GDPR så kan en välformulerad integritetspolicy även:

• öka förtroendet från dina kunder genom att hjälpa dem förstå hur ni använder deras personuppgifter när de använder era tjänster eller köper era produkter; och

• sätta en standard för hur ert företag tar beslut om frågor gällande personuppgiftshantering.

• Varför är en integritetspolicy viktig och varför ska ni upprätta en integritetspolicy?

Inom EU måste alla företag använda personuppgifter i enlighet med GDPR. I stort sett alla företag kommer använda personuppgifter när de tar in information om kunder, som till exempel namn, kontaktuppgifter eller annan information som på något sätt går att koppla till kunder, samarbetspartners eller besökare till webbplatsen. Några exempel på hur ni som ett SMB kan komma att använda personuppgifter är till exempel: 

Insamling av personuppgifter från potentiella kunder genom till exempel er webbsida, sociala medieplattformar eller andra kommunikationskanaler; 

• Lagring av kontaktuppgifter i CRM-system; och 

• Inloggningsuppgifter tillhörande användare av er applikation eller webbsida.

Det finns stora risker med att inte följa lagstiftningen. De mest allvarliga överträdelserna kan resultera i böter i upp till 4 % av ett företags globala omsättning eller, beroende på vilket belopp som är högst, 20 miljoner euro. För mindre allvarliga överträdelser kan bötesbeloppet uppgå till 2 % av den globala omsättningen eller 10 miljoner euro, beroende på vilket belopp som är högst.

Vilka är de vanligaste fallgroparna när ni upprättar en integritetspolicy? 

Undvik alla former av juridiskt jargong och skriv koncist, tillgängligt och enkelt. Integritetspolicyn ska ha ett språk som är så enkelt som möjligt och lämpligt för mottagaren. Både företag och deras kunder drar nytta av att vara införstådda hur användningen av personuppgifter går till, vilket leder till färre frågor om personuppgiftshantering från kunderna. Integritetspolicyn fungerar även som en intern guide för hur ert företag ska använda personuppgifter. Till exempel kan integritetspolicyn vägleda företagets anställda i hur till exempel rätten till tillgång fungerar på företaget. Ni ska tydligt informera om ert företags specifika användning av personuppgifter, lagring och rutiner.

Ni får bara använda personuppgifter när det är nödvändigt för ett specifik syfte. Detta krav innebär inte att ni måste ha ett enastående syfte för att använda personuppgifterna, men ert syfte bör vara tydligt definierat för det aktuella mottagarna av informationen. Detta är sammankopplat med er rättsliga skyldighet att tydligt definiera era så kallade “rättsliga grunder” vilket krävs för att få använda personuppgifter i enlighet med GDPR. Ni lever upp till den skyldigheten i integritetspolicyn genom att ni publicerar er lagliga grund, till exempel samtycke, fullgörande av avtal eller intresseavvägning.

En integritetspolicy är kan bara användas av det företag som har upprättat den. Därför är det en dålig idé att kopiera ett annat företags integritetspolicy. Policyn bör klargöra den specifika rutiner som gäller för ert företag och hur det använder de registrerades rättigheter och användningen av personuppgifter.