En integritetspolicy, ibland kallad dataskyddspolicy, är det dokument där ditt företag berättar hur ni samlar in och behandlar besökares och kunders personuppgifter. Enligt dataskyddsförordningen (GDPR) har den som lämnar ifrån sig sina uppgifter rätt att få veta vad som händer med dem: vilka uppgifter ni behandlar, varför, med vilken rättslig grund, hur länge de sparas, vilka som kan ta del av dem och vilka rättigheter den registrerade har. Informationsplikten är inte frivillig – den gäller i princip varje organisation som behandlar personuppgifter, oavsett storlek.
I praktiken är integritetspolicyn ofta den synligaste delen av ett företags dataskyddsarbete. En tydlig och korrekt policy skapar förtroende hos kunder och besökare, samtidigt som den hjälper er att uppfylla GDPR:s krav på öppenhet. I den här guiden går vi igenom vad en integritetspolicy är, när du behöver en, vad den ska innehålla och vilka misstag du bör undvika. När du är redo kan du skapa en anpassad integritetspolicy online hos Avtalsfrid – i klarspråk och utan att börja från ett tomt blad.
Vad är en integritetspolicy enligt GDPR?
En integritetspolicy är den information du som personuppgiftsansvarig är skyldig att lämna till de registrerade enligt artiklarna 13 och 14 i dataskyddsförordningen (GDPR). Den beskriver hur din organisation behandlar personuppgifter, det vill säga all information som direkt eller indirekt kan kopplas till en levande person, exempelvis namn, e-postadress, IP-adress, köphistorik eller uppgifter som samlas in via kakor (cookies).
Policyn ska bland annat ange vem som är personuppgiftsansvarig och hur man når er, vilka kategorier av uppgifter ni behandlar, för vilka ändamål och med stöd av vilken rättslig grund, hur länge uppgifterna sparas, om de delas med andra mottagare eller överförs utanför EU/EES, samt vilka rättigheter den registrerade har. Tillsynsmyndighet i Sverige är Integritetsskyddsmyndigheten (IMY), dit en person kan vända sig med klagomål. En integritetspolicy är alltså inte ett avtal mellan dig och kunden, utan ett sätt att uppfylla GDPR:s krav på transparent och tydlig information.
När behöver ditt företag en integritetspolicy?
Du behöver en integritetspolicy så snart din verksamhet behandlar personuppgifter, vilket nästan alla webbplatser och företag gör. Har du ett kontaktformulär, ett nyhetsbrev, en e-handel, ett bokningssystem, kunddatabaser eller verktyg för webbanalys behandlar du personuppgifter och omfattas av informationsplikten. Detsamma gäller om du hanterar uppgifter om anställda, leverantörer eller medlemmar.
GDPR gäller för organisationer som är etablerade inom EU, men även för företag utanför EU som riktar sig till personer i EU eller övervakar deras beteende. Det spelar ingen roll om du driver ett aktiebolag, en enskild firma, en förening eller en blogg med insamling av e-postadresser – behandlar du personuppgifter behöver du informera de registrerade. För många verksamheter räcker det med en väl skriven integritetspolicy på webbplatsen, men kombinera den gärna med en tydlig hantering av samtycke för icke nödvändiga kakor, eftersom kakor regleras både av GDPR och av lagen om elektronisk kommunikation.
Vad ska en integritetspolicy innehålla?
En komplett integritetspolicy bygger på GDPR:s grundläggande principer, bland annat att uppgifter ska behandlas lagligt, korrekt och öppet, samlas in för bestämda ändamål, begränsas till vad som är nödvändigt och inte sparas längre än behövligt. För varje behandling bör du kunna redogöra för ändamålet och den rättsliga grunden. De vanligaste rättsliga grunderna är samtycke, fullgörande av avtal, rättslig förpliktelse, och en intresseavvägning (berättigat intresse).
Konkret bör policyn innehålla: identitet och kontaktuppgifter för den personuppgiftsansvarige (och eventuellt dataskyddsombud), vilka personuppgifter och kategorier som behandlas, ändamål och rättslig grund, lagringstider eller kriterierna för hur länge uppgifterna sparas, vilka mottagare eller kategorier av mottagare som kan ta del av uppgifterna, om uppgifter överförs till tredjeland och i så fall med vilka skyddsåtgärder, samt en tydlig beskrivning av de registrerades rättigheter och hur de utövas. Anlitar du leverantörer som behandlar uppgifter åt dig, till exempel ett webbhotell eller ett nyhetsbrevsverktyg, är de normalt personuppgiftsbiträden och då krävs ett separat personuppgiftsbiträdesavtal vid sidan av själva policyn.
De registrerades rättigheter
En central del av varje integritetspolicy är att förklara vilka rättigheter den registrerade har enligt GDPR och hur dessa kan utövas. Personen har bland annat rätt till tillgång (att få veta vilka uppgifter ni behandlar och få ett registerutdrag), rätt till rättelse av felaktiga uppgifter och rätt till radering, ibland kallad rätten att bli bortglömd. Det finns även rätt till begränsning av behandlingen, rätt att invända mot viss behandling samt rätt till dataportabilitet, det vill säga att i vissa fall få ut sina uppgifter i ett maskinläsbart format.
Om en behandling grundar sig på samtycke har personen alltid rätt att när som helst återkalla samtycket, utan att det påverkar lagligheten av behandlingen dessförinnan. Policyn ska beskriva hur den registrerade kontaktar er för att utöva sina rättigheter och informera om rätten att lämna klagomål till Integritetsskyddsmyndigheten (IMY). Var konkret om hur en begäran hanteras, eftersom du som personuppgiftsansvarig som regel ska svara utan onödigt dröjsmål och normalt inom en månad.
Vanliga misstag och så skapar du policyn online
Ett vanligt misstag är att kopiera en annan webbplats integritetspolicy rakt av. Policyn ska spegla just din verksamhets faktiska behandling – beskriver den behandlingar du inte utför, eller missar sådant du faktiskt gör, uppfyller den inte informationsplikten. Andra återkommande fel är att ange fel eller ingen rättslig grund, att skriva i ett krångligt juridiskt språk i stället för det klarspråk GDPR kräver, att glömma kakor och webbanalys, samt att inte uppdatera policyn när verksamheten förändras. Tänk också på att samtycke till kakor som inte är nödvändiga ska vara aktivt och frivilligt – förkryssade rutor godtas inte.
Med Avtalsfrid skapar du en integritetspolicy online genom att svara på enkla frågor om din verksamhet: vilka uppgifter du samlar in, för vilka ändamål, vilka verktyg och leverantörer du använder och hur länge uppgifterna sparas. Utifrån svaren får du en strukturerad och anpassad policy i klarspråk som täcker GDPR:s informationskrav, klar att publicera på din webbplats. För mer komplex behandling, till exempel känsliga personuppgifter eller överföringar till tredjeland, kan det vara klokt att låta en jurist granska policyn och ert övriga dataskyddsarbete.
Vanliga frågor om integritetspolicy (gdpr)
Är det obligatoriskt att ha en integritetspolicy?
I praktiken ja. GDPR ställer krav på att du informerar de registrerade om hur deras personuppgifter behandlas, och en integritetspolicy är det vanliga sättet att uppfylla den informationsplikten. Behandlar din verksamhet personuppgifter – vilket nästan alla företag och webbplatser gör – behöver du tillhandahålla denna information på ett tydligt och lättillgängligt sätt.
Vad är skillnaden mellan en integritetspolicy och en cookiepolicy?
En integritetspolicy beskriver hela din behandling av personuppgifter enligt GDPR. En cookiepolicy fokuserar specifikt på vilka kakor webbplatsen använder och i vilket syfte. De hänger ihop, eftersom kakor ofta innebär behandling av personuppgifter, och informationen kan antingen samlas i ett dokument eller delas upp. Samtycke till icke nödvändiga kakor hanteras dessutom ofta separat via en samtyckesruta.
Måste integritetspolicyn registreras hos någon myndighet?
Nej. Du behöver inte skicka in eller registrera din integritetspolicy hos Integritetsskyddsmyndigheten (IMY) eller någon annan myndighet. Policyn ska i stället göras tillgänglig för de registrerade, vanligtvis genom att publiceras på din webbplats. IMY är dock tillsynsmyndighet och kan granska hur du behandlar personuppgifter samt ta emot klagomål från enskilda.
Vad räknas som en rättslig grund enligt GDPR?
All behandling av personuppgifter måste stödja sig på minst en rättslig grund. De vanligaste är samtycke, att behandlingen är nödvändig för att fullgöra ett avtal, att den krävs för att uppfylla en rättslig förpliktelse, samt en intresseavvägning där ditt berättigade intresse väger tyngre än den registrerades. I integritetspolicyn bör du ange vilken grund som gäller för respektive ändamål.
Vad händer om jag inte har en korrekt integritetspolicy?
Att sakna eller ha en bristfällig integritetspolicy kan innebära att du bryter mot GDPR:s informationskrav. Integritetsskyddsmyndigheten kan utöva tillsyn och vid överträdelser besluta om åtgärder, förelägganden och i allvarliga fall sanktionsavgifter. Minst lika viktigt är förtroendet: en otydlig hantering av personuppgifter kan skada relationen till dina kunder och besökare.
Hur skapar jag en integritetspolicy online hos Avtalsfrid?
Hos Avtalsfrid svarar du på enkla frågor om din verksamhet – vilka uppgifter du samlar in, ändamålen, vilka verktyg och leverantörer du använder och hur länge uppgifterna sparas. Utifrån svaren genereras en anpassad integritetspolicy i klarspråk som täcker GDPR:s informationskrav och är klar att publicera. Vid mer komplex behandling kan du även välja att låta en jurist granska policyn.