Dataskyddsförordningen, mer känd som GDPR, reglerar hur personuppgifter får samlas in, behandlas och lagras inom EU och EES. En vanlig fråga är om reglerna även omfattar företagsuppgifter.
Svaret är att det beror på vilken typ av information det handlar om. GDPR är främst inriktad på att skydda individers rättigheter och gäller därför i första hand uppgifter som kan knytas till en fysisk person. När det gäller uppgifter om företag beror det alltså på om de innehåller personuppgifter eller inte.
När omfattas företagsuppgifter av GDPR?
Rent juridiskt omfattas inte uppgifter om företag som juridiska personer av GDPR. Exempelvis är information om ett aktiebolags organisationsnummer, namn eller adress i sig inte personuppgifter och faller därför utanför förordningen.
Däremot kan företagsuppgifter innehålla personuppgifter, exempelvis namn och kontaktuppgifter till en enskild näringsidkare eller en kontaktperson på ett företag. I dessa fall gäller GDPR eftersom uppgifterna går att koppla till en identifierbar individ.
Hur ska företagsuppgifter med persondata hanteras?
När företagsuppgifter innehåller persondata måste samma principer som gäller för andra typer av personuppgifter följas. Det innebär bland annat att insamlingen måste ske med en laglig grund, exempelvis samtycke eller berättigat intresse. Uppgifterna får endast användas för tydligt definierade ändamål, och de får inte lagras längre än nödvändigt.
Dessutom har individer vars personuppgifter behandlas rättigheter enligt GDPR, som rätt till information, rättelse och i vissa fall radering. För företag som arbetar med kundregister eller marknadsföringslistor innebär detta att de måste se över hur informationen samlas in, lagras och används.
Varför är det viktigt att förstå skillnaden?
Att veta när GDPR gäller är avgörande för att undvika regelöverträdelser. Många verksamheter behandlar företagsuppgifter som även innehåller persondata utan att reflektera över konsekvenserna. Att exempelvis använda en lista med kontaktpersoner för marknadsföringsutskick kräver en bedömning av den lagliga grunden och att mottagarna informeras på rätt sätt.
En tydlig skillnad mellan rena företagsuppgifter och sådana som innehåller persondata gör det möjligt för företag att bättre säkerställa att de uppfyller kraven i förordningen. Detta minskar risken för sanktioner och stärker samtidigt förtroendet hos kunder och samarbetspartners.
