Tre år med GDPR – vad är viktigt att ha koll på som ensamföretagare?
Våren 2018 infördes GDPR. Vad har vi lärt oss under de här tre åren? Vad ska man tänka på som egenföretagare?
Publicerad 26 nov. 2021
Den 25:e maj 2018 förändrades hur vi behandlar personuppgifter i grunden. Då infördes EU:s nya dataskyddsförordning GDPR, som ersatte den tidigare personuppgiftslagen (PuL). Införandet innebar att kraven på företagens hantering (bland annat rutiner och processer) av personuppgifter blev hårdare.
Att sätta sig in i GDPR som liten aktör och förstå vad man behöver kan bli både dyrt och tidskrävande.
Tre år efter att GDPR infördes kan man konstatera att förändringen har inneburit stora utmaningar, inte minst, och kanske särskilt, för egenföretagare. För att minska sina risker har många behövt utveckla sina processer för att bli så enkla och rimliga som möjligt, menar Linda Mazaheri, biträdande jurist på advokatbyrån Fylgia. En av anledningarna till svårigheterna många egenföretagare upplevt beror på att det omfattande regelverket inte i första hand införts med små entreprenörer i åtanke.
– GDPR är skrivet med utgångspunkt i väldigt stora företag, samtidigt som det ska tillämpas också på betydligt mindre företag, säger Mazaheri. Att sätta sig in i GDPR som liten aktör och förstå vad man behöver göra kan bli både dyrt och tidskrävande.
- Begränsa din risk. Ta ett helhetsgrepp på GDPR och hur du använder personuppgifter.
- Gå igenom företagets rutiner och processer kring dokumentation av personuppgifter.
- När tillsynsarbetet nu baseras på anmälningar kommer ditt förarbete vara värt det. För får man en anmälning på sig kommer den att utredas.
Hur man hanterar personuppgifter är centralt
Grundtanken i GDPR är att alla uppgifter som behövs i verksamheten som regel får lagras, men att vissa är särskilt känsliga: etniskt ursprung, politisk eller religiös övertygelse, medlemskap i fackförening, hälsotillstånd och sexuell läggning. Uppgifter man kanske sällan kommer i kontakt med som egenföretagare, men det finns också andra, betydligt vanligare, att ta hänsyn till.
– I Sverige har det dock bestämts att även andra personuppgifter är särskilt skyddsvärda, däribland personnummer, berättar Mazaheri. De flesta företagare som har privatpersoner som kunder och erbjuder fakturering kommer komma i kontakt med personnummer och det här gäller även löneuppgifter. Sådana integritetskänsliga personuppgifter får bara behandlas under vissa förutsättningar och kan kräva en högre säkerhetsnivå och skyddas av extra brandväggar och liknande. Kanske behöver man också begränsa vilka som får tillgång till uppgifterna inom organisationen.
För att utveckla sina processer och rutiner kring användandet av personuppgifter rekommenderar Mazaheri en kartläggning kring vilka personuppgifter man kan tänkas hantera och hur man gör det.
– Det är bra att ha det på pränt. På så sätt har man redan en tydlig karta över hur personuppgifter faktiskt flödar i företaget. Då blir det enklare att svara på frågor från kunder och också lättare att sätta upp den dokumentation som krävs för att göra en personuppgiftspolicy.
Affärsjuridisk rådgivning för dig som är medlem
Om du har frågor kring GDPR efter att du har använt GDPR-hjälpen har du som egenföretagarmedlem möjlighet att få affärsjuridisk rådgivning 10 gånger per år och där varje ärende får ta max en timme.
Boka affärsjuridisk rådgivning
Ett av skälen till att det är viktigt att ha rutiner för GDPR är att det ska finnas dokumentation om något skulle hända. Kan man göra riskbedömningar kring till exempel vilka konsekvenser en personuppgiftsincident skulle kunna få blir de också lättare att undvika.
– Jag tror det framför allt är personnummer och samordningsnummer som kan ställa till problem för många, men där ska man också komma ihåg att behöver man personnummer i verksamheten för fakturering till exempel, så får man normalt sett behandla det. Så länge man håller uppgifterna säkra.
I mars i år gick Integritetsskyddsmyndigheten ut och meddelade att merparten av dess arbete kommer avse just GDPR och utgå från anmälningar från privatpersoner och organisationer. Anledningen till att man som egenföretagare vill undvika personuppgiftsincidenter och anmälningar är väldigt enkel – det kan bli väldigt dyrt.
Om en anmälning granskas och man bedöms vara skyldig till att ha brutit mot GDPR kan bötesbeloppet uppgå till fyra procent av årsomsättningen.
– Att inte ha koll på sitt GDPR-arbete kan få stora ekonomiska konsekvenser, säger Mazaheri. Inte minst för egenföretagare som ofta har ganska små marginaler. Om en anmälning granskas och man bedöms vara skyldig till att ha brutit mot GDPR kan bötesbeloppet uppgå till fyra procent av årsomsättningen, max 20 miljoner euro. Bötesbeloppen kan bli väldigt kostsamma.
Bara tillämpligt på fysiska individer
Egenföretagares verksamheter kan skilja sig väldigt mycket åt. En del är konsulter som uteslutande arbetar gentemot företag, andra arbetar uteslutande med privatpersoner.
– GDPR är inte tillämpligt på uppgifter om företag som är egna juridiska personer utan bara på fysiska individer, men även om man framför allt har företagskunder har man ju i de allra flesta fall kontaktpersoner, och de är fysiska individer. Det blir inte så stor skillnad helt enkelt. Behandlar man bara företagsuppgifter – företagsnamn och organisationsnummer och liknande – är GDPR inte tillämpligt, förutsatt att företaget inte är en enskild firma (som inte är en egen juridisk person), men för att minska sin risk måste man ta ett helhetsgrepp även på företagskunder. För när som helst kan man plötsligt ha man en kontaktperson där i mejlen.
Text: Mattias Dahlström
2021-12-02