Vad är en integritetspolicy? 

En integritetspolicy förklarar hur ditt företag använder, samlar in och lagrar personuppgifter. Det är ett publikt dokument som riktar sig till en definierad grupp mottagare (till exempel de som använder ditt företags tjänst eller de du riktar marknadsföring till). Vanligtvis finns integritetspolicyn tillgänglig på företagets webbplats, men det är också vanligt att hänvisa till den när kunder ska köpa en tjänst. 

När ska du upprätta en integritetspolicy? 

Att upprätta en integritetspolicy är en viktig del av att uppfylla kraven i GDPR. En integritetspolicy ska ge tydlig information om vilka personuppgifter (all information som direkt eller indirekt kan kopplas till en fysisk person) du använder, hur och var du lagrar personuppgifter, hur du har fått tillgång till dem och om personuppgifterna överförs till länder utanför EU/EES. Policyn måste också innehålla information om rättigheterna för dem vars personuppgifter du använder. Sådana rättigheter är bland annat rätten till tillgång, rätten till radering och rätten till en kopia av de personuppgifter du har om personen som begär kopian.

För webbplatser bör integritetspolicyn informera om och hur personuppgifter samlas in från personer som besöker webbplatsen. Om du samlar in personuppgifter från tredje part bör du särskilt informera om detta. Om du använder cookies bör du också ta fram en cookiepolicy. En cookiepolicy är specifik information om hur du använder cookies och andra spårningsverktyg för att samla in personuppgifter.

Utöver att hjälpa ditt företag att följa GDPR kan en välformulerad integritetspolicy också:

• öka kundernas förtroende genom att hjälpa dem förstå hur du använder deras personuppgifter när de använder dina tjänster eller köper dina produkter; och

• sätta en standard för hur ditt företag fattar beslut i frågor som rör personuppgiftshantering.

• Varför är en integritetspolicy viktig, och varför ska du upprätta en?

Inom EU måste alla företag använda personuppgifter i enlighet med GDPR. I stort sett alla företag använder personuppgifter när de samlar in information om kunder, till exempel namn, kontaktuppgifter eller annan information som på något sätt kan kopplas till kunder, samarbetspartner eller besökare på webbplatsen. Några exempel på hur du som SMB kan använda personuppgifter är: 

insamling av personuppgifter från potentiella kunder via till exempel din webbplats, sociala medieplattformar eller andra kommunikationskanaler; 

• lagring av kontaktuppgifter i CRM-system; och 

• inloggningsuppgifter för användare av din applikation eller webbplats.

Det finns stora risker med att inte följa lagstiftningen. De mest allvarliga överträdelserna kan leda till böter på upp till 4 % av ett företags globala omsättning eller, beroende på vilket belopp som är högst, 20 miljoner euro. För mindre allvarliga överträdelser kan böterna uppgå till 2 % av den globala omsättningen eller 10 miljoner euro, beroende på vilket belopp som är högst.

Vilka är de vanligaste fallgroparna när du upprättar en integritetspolicy? 

Undvik all form av juridisk jargong och skriv kort, tydligt och enkelt. Integritetspolicyn ska ha ett språk som är så enkelt som möjligt och anpassat för mottagaren. Både företag och deras kunder tjänar på att förstå hur personuppgifter används, vilket leder till färre frågor om personuppgiftshantering. Integritetspolicyn fungerar också som en intern guide för hur ditt företag ska använda personuppgifter. Till exempel kan den vägleda företagets anställda i hur rätten till tillgång fungerar i praktiken. Du ska tydligt informera om ditt företags specifika användning av personuppgifter, lagring och rutiner.

Du får bara använda personuppgifter när det är nödvändigt för ett specifikt syfte. Det kravet innebär inte att du måste ha ett enda syfte för att använda personuppgifterna, men syftet bör vara tydligt definierat för de aktuella mottagarna av informationen. Detta hänger ihop med din rättsliga skyldighet att tydligt definiera dina så kallade “rättsliga grunder”, vilket krävs för att få använda personuppgifter i enlighet med GDPR. Du uppfyller den skyldigheten i integritetspolicyn genom att publicera din rättsliga grund, till exempel samtycke, fullgörande av avtal eller intresseavvägning.

En integritetspolicy kan bara användas av det företag som har upprättat den. Därför är det en dålig idé att kopiera ett annat företags integritetspolicy. Policyn bör klargöra de specifika rutiner som gäller för ditt företag, hur du hanterar de registrerades rättigheter och hur personuppgifter används.