GDPR för småföretag
Så lever ditt småföretag upp till GDPR 2026: rättslig grund, registret över behandlingar, personuppgiftsbiträdesavtal, kundregister och mejl i praktiken samt de registrerades rättigheter.
GDPR, dataskyddsförordningen, gäller alla som behandlar personuppgifter, oavsett företagets storlek. Som småföretagare behöver du sällan en hel compliance-avdelning, men du måste ha koll på några grundpelare: en laglig grund för varje behandling, ett register över vad du gör, avtal med dina leverantörer och rutiner för kundernas rättigheter. Här är GDPR nedbruten till det som faktiskt gäller för ett litet företag.
Vad är en personuppgift: och vem ansvarar?
En personuppgift är all information som kan kopplas till en levande person: namn, e-postadress, telefonnummer, personnummer, IP-adress, bilder. Hanterar du kunders eller anställdas uppgifter behandlar du personuppgifter.
Du är normalt personuppgiftsansvarig för de uppgifter du samlar in om dina kunder och anställda, det är du som bestämmer varför och hur de behandlas. De leverantörer som behandlar uppgifterna åt dig (molntjänster, bokföringsprogram, nyhetsbrevsverktyg) är personuppgiftsbiträden.
Rättslig grund: ha en anledning
Varje behandling måste ha en rättslig grund. De vanligaste för ett småföretag är:
- Avtal: du behöver uppgifterna för att fullgöra ett avtal med kunden (t.ex. leverera och fakturera).
- Rättslig förpliktelse: lagen kräver det, t.ex. att spara underlag enligt bokföringslagen.
- Berättigat intresse: efter en intresseavvägning, t.ex. viss kundvård.
- Samtycke: personen har aktivt godkänt behandlingen, vanligt för nyhetsbrev.
Du ska kunna peka ut grunden för varje behandling, det går inte att samla in uppgifter "för säkerhets skull".
Registret över behandlingar
Även ett litet företag ska föra ett register över behandlingar: en enkel förteckning över vilka personuppgifter du behandlar, varför, vilken rättslig grund du har, hur länge de sparas och vilka som har tillgång. Det behöver inte vara avancerat; ett kalkylark räcker långt. Registret är både ett lagkrav och din egen översikt.
Personuppgiftsbiträdesavtal
Använder du en extern tjänst som behandlar personuppgifter åt dig, ett bokföringsprogram, ett lönesystem, en e-postleverantör eller ett CRM, ska du ha ett personuppgiftsbiträdesavtal (DPA) med leverantören. Avtalet reglerar vad biträdet får göra med uppgifterna och hur de skyddas. De flesta seriösa molntjänster tillhandahåller ett färdigt DPA som du godkänner; se till att det faktiskt finns på plats.
Mejl och kundregister i praktiken
Två områden där det ofta brister i småföretag:
- Kundregister: samla bara in det du behöver (uppgiftsminimering), håll det uppdaterat och gallra det du inte längre har grund att spara. Underlag som ingår i bokföringen måste dock sparas i sju år, den rättsliga förpliktelsen går då före radering.
- Mejl och nyhetsbrev: marknadsföring via e-post kräver en rättslig grund, ofta samtycke, och mottagaren ska enkelt kunna avregistrera sig. Skicka inte nyhetsbrev till inköpta listor utan grund.
De registrerades rättigheter och incidenter
Personer vars uppgifter du behandlar har rättigheter: att få veta vad du har (registerutdrag), att få fel rättade, och att i vissa fall bli raderade ("rätten att bli glömd"), utom när du måste spara uppgifterna enligt lag. Du ska kunna svara på en sådan begäran utan onödigt dröjsmål.
Inträffar en personuppgiftsincident: uppgifter läcker, försvinner eller hamnar fel, ska den normalt anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar, och i allvarliga fall ska de drabbade informeras. Allvarliga brister kan ge kännbara sanktionsavgifter.
Det viktigaste att ta med sig
GDPR gäller även det minsta företaget. Se till att ha en rättslig grund för varje behandling, för ett enkelt register över behandlingar, och teckna personuppgiftsbiträdesavtal med de leverantörer som hanterar uppgifter åt dig. Samla bara in det du behöver, gallra i tid (men spara bokföringsunderlag i sju år), hantera nyhetsbrev med rätt grund, och ha en rutin för registrerades rättigheter och för att anmäla incidenter till IMY inom 72 timmar.