Dataskyddspolicy, Integritetspolicy, Personuppgiftspolicy?

Dataskyddspolicy, Integritetspolicy, Personuppgiftspolicy, Sekretesspolicy är olika benämningar för samma typ av policy. Anledningen till detta är för att den engelska benämningen har översatts på olika sätt och det har ännu inte angivits någon formell svensk benämning för dokumentet.

På engelska är Dataskyddspolicy, Integritetspolicy, Personuppgiftspolicy och Sekretesspolicy kallad för ”Privacy Policy”.

Dataskyddspolicy

Enligt GDPR ska företag inom EU/EES som behandlar personuppgifter upprätta en integritetspolicy, som även är kallad för Dataskyddspolicy, Personuppgiftspolicy och Sekretesspolicy. Vi väljer att kalla denna policy för integritetspolicy.

Vad ska en Dataskyddspolicy innehålla enligt GDPR?

Det är viktigt att integritetspolicyn är skriven med ett enkelt språk för att läsaren ska förstå exakt hur behandlingen går till. Företaget ska även vara transparent avseende hur behandlingen av personuppgifterna sker.

En integritetspolicy ska innehålla information om den personuppgiftsansvarige, vilket normalt är företaget som sådant. Om det är en enskild firma, är det istället ägaren till firman som är den personuppgiftsansvarige.

Den som är personuppgiftsansvarig är den som bestämmer ändamålen med behandlingen av personuppgifterna. Den ansvarige ska se till att behandlingen sker i enlighet med GDPR.

I integritetspolicyn ska det även framgå information om hur behandlingen och insamlingen av personuppgifterna går till. Exempelvis ska det stå hur länge personuppgifter blir lagrade, vart de blir lagrade och när de blir raderade.

Dessutom ska det framgå information om de registrerade personernas rättigheter och att de kan vända sig till Integritetsskyddsmyndigheten vid klagomål. Det ska även framgå vem de ska kontakta hos företaget för att åberopa sina rättigheter.

Vad är syftet med en integritetspolicy?

Syftet med en integritetspolicy är att informera om hur företaget behandlar personuppgifterna som företaget hanterar. Dokumentet kan med fördel vara publicerat på företagets webbplats. Enligt GDPR måste privatpersoner få information om hur behandlingen av dennes personuppgifter kommer att gå till, innan det sker.

Integritetspolicyn ska även framgå i direkt anslutning till eventuellt kontaktformulär på webbplatsen.Dessutom måste kontaktformulär innehålla utrymme för personen ifråga att lämna sitt aktiva samtycke till behandlingen av personuppgifterna som framgår i meddelandet. Det sker smidigt genom att lägga till en ”checkruta” för samtycke, som avsändaren aktivt måste kryssa i innan meddelandet blir skickat till företaget. Samtycket ska avse godkännande för företaget att behandla avsändarens personuppgifter i enlighet med integritetspolicyn och GDPR. Därför är det viktigt att integritetspolicyn är publicerad intill formuläret.

Fler GDPR avtal

Utöver en integritetspolicy, måste företag även ingå ett så kallat Personuppgiftsbiträdesavtal med alla fysiska eller juridiska personer som företaget delar personuppgifter med.

Desssutom behöver företag olika GDPR dokument för att styrka att företaget följer GDPR inom sin behandling av personuppgifter. Exempelvis följande dokument:

  • Loggbok för att styrka att företaget gallrar personuppgifter.
  • Loggbok för att styrka att företaget följer upp personuppgiftsincidetner.
  • Interna rutiner för att säkerställa korrekt behandling av personuppgifter.
  • Interna rutiner för hur gallring ska gå till.
  • Intern rutin för hur de registreras rättigheter ska bli tillgodosedda.
  • Intern rutin för lösenordsbyten m.m.

Vi skriver och granskar GDPR avtal och dokument till företag och arbetar enbart med fasta priser. Du når oss enkelt via 08-81 66 33 eller genom att mejla oss på kontakt@digitalajuristerna.se. I våra fasta priser ingår alltid samtal och genomgång av avtalen med en jurist. Du är alltid delaktig i arbetet och får även möjlighet att diskutera med juristen.