Mall för integritetspolicy

När ska du använda en integritetspolicy?

Att ha en integritetspolicy är en viktig del av att följa kraven i den brittiska allmänna dataskyddsförordningen (UK GDPR). Policyn bör beskriva vilka personuppgifter du lagrar (till exempel namn och andra kontaktuppgifter), hur du lagrar dem (hur länge och var), hur du fick dem och om de delas med tredje parter eller förs över till andra länder. Den måste också innehålla information om individens rättigheter, till exempel rätten till radering och rätten att få tillgång till de uppgifter ditt företag har om personen. 

För webbplatser ska din integritetspolicy förklara hur data samlas in från eller om användare som använder webbplatsen. Särskilt ska information om personuppgifter som samlas in från tredje parter tas med. Om du använder cookies för att spåra användare på din webbplats behöver du dessutom en cookiepolicy. En cookiepolicy beskriver specifikt hur cookies och andra spårningstekniker används för att samla in personuppgifter. 

Utöver att hjälpa ditt företag att följa lagen gör en välskriven integritetspolicy också följande:

1. skapar trygghet hos dina kunder genom att hjälpa dem att förstå hur du använder data när de använder dina produkter och/eller tjänster; och

2. sätter ramar för hur ditt företag fattar beslut om och behandlar data.

Varför ska du ha en integritetspolicy?

I Storbritannien måste företag behandla personuppgifter i enlighet med dataskyddslagar, inklusive UK GDPR. Nästan alla företag behandlar personuppgifter eftersom de samlar in uppgifter som namn, adresser och kontaktuppgifter till kunder, tjänsteleverantörer eller besökare på webbplatsen. Några exempel på hur du som SMB kan behandla personuppgifter är: 

• insamling av personuppgifter från potentiella kunder via din webbplats, sociala medieplattformar och andra kommunikationskanaler; 

• lagring av kunders kontaktuppgifter i CRM-system; och

• inloggningsuppgifter för användare av din app eller webbplats. 

Böterna för att inte följa UK GDPR kan bli höga – de mest allvarliga överträdelserna kan leda till böter på upp till 4 % av den globala omsättningen under föregående räkenskapsår eller 17,5 miljoner pund (det som är högst), och andra överträdelser kan leda till böter på upp till 2 % av den globala årsomsättningen under föregående räkenskapsår eller 8,75 miljoner pund (det som är högst). 

Vanliga fallgropar i en integritetspolicy

Policyn ska vara skriven på enkel och tydlig engelska. Undvik juridisk jargong helt och skriv kort, lättillgängligt och transparent. Både företag och kunder tjänar på att ha samma bild av databehandlingen, eftersom det minskar antalet frågor om hur individer kan utöva sina rättigheter i relation till sina uppgifter. Policyn fungerar också som vägledning för de praktiska steg som tas kring hur ditt företag hanterar data. Till exempel kan policyn styra hur begäranden om registerutdrag bör hanteras. Du ska tydligt beskriva företagets specifika metoder för att samla in, lagra och behandla data. 

Du får bara behandla data när det är nödvändigt för ett specifikt syfte. Det betyder inte att du måste ha ett särskilt unikt eller ovanligt syfte, men varje syfte med databehandlingen ska vara tydligt definierat och förklarat för de berörda personerna. Detta hänger ihop med dina rättsliga skyldigheter att tydligt definiera den så kallade "rättsliga grunden" för behandling enligt GDPR-ramverket.

En integritetspolicy gäller bara för det företag som har tagit fram den. Därför är det ingen bra idé att kopiera ett annat företags integritetspolicy. Policyn ska klargöra de specifika rutiner som gäller för ditt företag och hur företaget hanterar de registrerades rättigheter och behandlingen av data.