När ni har en överblick över vilka personuppgifter som hanteras i ert företag, och i vilka syften dessa samlas in så behöver ni dokumentera varför lagringen och behandlingen av personuppgifterna är laglig. Det är klokt att utgå från listan över personuppgifter och i vilket syfte de används när ni dokumenterar de lagliga grunderna.
De mest förekommande lagliga grunderna
1. Samtycke – ni har samlat in den registrerades fria samtycke till lagring/behandling.
2. Avtal – ni har ett avtal eller avsikt att ingå ett avtal med den registrerade.
3. Rättslig förpliktelse – när ni har en anledning som väger tyngre än den registrerades rätt att undgå behandlingen av personuppgifter.
4. Berättigat intresse – när ni har en anledning som väger tyngre än den registrerades rätt att undgå behandlingen av personuppgifter.
5. Skydd av grundläggande intresse – när människors liv anses vara hotade.
6. Allmänt intresse eller som led i myndighetsutövning.
De två sista är främst avsedda för myndigheter och forskningsinstitutioner.
Vad ditt företag har för lagliga grunder för behandling av personuppgifter bör diskuteras och tas fram i samarbete mellan verksamhetsexperter, IT-avdelningen och personer som är kunniga på dataskyddsförordningen. Den listan bör ses som ett levande dokument som behöver underhållas och uppdateras.
Skriv integritetspolicy
Alla företag som samlar in data från användare bör ha en integritetspolicy som informerar om hur du använder de uppgifter som kunder och andra delar med sig av till ditt företag. En integritetspolicy ska tydligt och enkelt förklara för användarna vilken information du samlar in och syftet med hanteringen, hur du samlar in den informationen, samt hur du skyddar och lagrar informationen. Integritetspolicyn bör finnas tillgänglig på er hemsida liksom era allmänna villkor.
