Hantverkarna och GDPR

Här finner du information om GDPR och hur Hantverkarna arbetar med den nya dataskyddsförordningen.


Vad är Dataskyddsförordningen (GDPR)?

Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen ersatte personuppgiftslagen (PuL) den 25 maj 2018.


När gäller GDPR?

GDPR gäller vid all behandling av personuppgifter som sker automatiskt eller delvis automatiskt. GDPR gäller även alla personuppgifter som ingår i någon form av register.


I praktiken innebär det att åtgärder med personuppgifter som huvudregel omfattas av GDPR:s krav. Endast enstaka noteringar på lösa blad eller liknande som inte är sorterade i någon form av ordning är undantagna.

Vad är personuppgifter?

All information som kan användas för att identifiera en fysisk person direkt eller indirekt räknas som personuppgift. Typiskt sett är det namn, personnummer, adress eller faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Foton där en person kan identifieras kan också vara personuppgifter. Även referenser i form av namn på fakturor utgör personuppgifter.


Juridiska personers uppgifter omfattas inte, däremot uppgifter om de som är anställda eller de som är egna företagare.

Hur arbetar Hantverkarna med personuppgifter?

Hantverkarna har sedan många år styrelsebeslut på att inte lämna ut personuppgifter till tredje part, exempelvis samarbetspartners. Däremot använder organisationen olika datasystem, exempelvis för medlemsregister, vilket innebär att leverantörerna av dessa system har tillgång till personuppgifterna - dock aldrig för att använda uppgifterna för egen del, utan endast för hosting av system, support etc.


Vad är en personuppgiftsansvarig?

Personuppgiftsansvarig är benämningen på det företag eller den organisation som behandlar personuppgifter. Det är alltså inte en särskild person på företaget.


Vad är ett personuppgiftsbiträde?

Personuppgiftsbiträde är det företag som levererar ett visst system till en personuppgiftsansvarig. En personuppgiftsansvarig kan ha flera olika personuppgiftsbiträden.


Vad är ett personuppgiftsombud och behöver alla företag ha ett sådant?

Om ditt företag svarar ja på någon av de här tre frågorna måste ni ha ett dataskyddsombud:

  1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
  2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
  3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?


De organisationer som har som kärnverksamhet att behandla personuppgifter måste ha ett så kallat dataskyddsombud. Det rör exempelvis Eniro, hitta.se, merinfo. Det gäller därför som huvudregel inte för hantverksföretagare.


Datainspektionens hemsida kan du läsa mer om dataskyddsombud.


Jag driver mitt företag som enskild firma. Gäller den nya lagen även för mig?

Förordningen gäller för de personuppgiftsansvariga som är etablerade i EU. Förordningen omfattar i princip all behandling av personuppgifter, det vill säga sådan behandling som sker i företag, i föreningar, inom myndigheter och av privatpersoner. Det finns några undantag:

  • personuppgiftsbehandling som sker av en privatperson för rent personligt bruk
  • personuppgiftsbehandling som sker i verksamhet som inte omfattas av EU-rätten (till exempel försvar och nationell säkerhet)
  • personuppgiftsbehandling som sker i brottsbekämpande verksamhet (till exempel polisen)


Får man ha ett kundregister nu när GDPR har trätt i kraft?

Ja, det kan vara tillåtet. Om du har kundens samtycke (helst skriftligt) kan du lagra personuppgifter i ett kundregister så länge som kunden har samtyckt till det.


Har du inte kundens samtycke kan det vara tillåtet att spara personuppgifter så länge det t.ex. finns en reklamationsfrist, vilken är tre år i förhållanden där konsumentköplagen gäller.


Utöver det kan du, om du vid en s.k. intresseavvägning anser att du har ett berättigat intresse av att spara uppgifterna för din verksamhet som väger tyngre än personernas intressen eller friheter, ha kvar personuppgifter. Om du baserar ditt kundregister på en sådan intresseavvägning måste du trots allt radera personuppgifterna inom en viss tidsperiod, om du inte har fått kundens samtycke till att behålla dem längre.


Tänk alltid på att bara spara de absolut nödvändiga personuppgifterna.


Får jag skicka ut nyhetsbrev till mina kunder?

Ja, om du har kundens samtycke är det tillåtet att skicka ut nyhetsbrev. Har du inte kundens samtycke, kan du vid en intresseavvägning (se föregående fråga) anse att det ligger i ditt intresse att skicka ut nyhetsbrev och kundernas intressen och friheter inte väger tyngre. Om du skickar ut nyhetsbrev måste du även göra det enkelt för kunderna att avregistrera sig från dessa. Det kan med fördel ske genom att det finns en länk i nyhetsbrevet som gör att kunden avregistrerar sig med ett klick.


Jag måste spara verifikationer i 7 år enligt lag, får jag göra det när GDPR träder i kraft?

Ja, om det finns ett krav i lagar och förordningar får du spara personuppgifter som finns i t.ex. verifikationer. Däremot så måste du radera eller anonymisera personuppgifterna i verifikationerna efter att dessa 7 år har gått.


Det är alltid tillåtet att behandla personuppgifter om det krävs för att följa gällande lagar, exempelvis bokföringslagen eller lagen om åtgärder mot penningtvätt.

Fick du inte svar på dina frågor?

Du finner många frågor och svar på Datainspektionens hemsida. Du som är medlem i Hantverkarna kan också kontakta vår jurist Louise Kjellberg och ställa din fråga. Du kan också titta på filmer från ett av de GDPR-seminarier vi har arrangerat.

Del 1 (30,24 min) 

Del 2 (30,29 min) 

Del 3 (30,28 min)

Del 4 (5,35 min)Tipsa någon om sidan

Till e-post*

Ange e-postadressen till personen du vill tipsa om sidan

Ditt namn*

Din e-postadress*

Ditt meddelande

Fält markerade med * är obligatoriska

Hantverk i medierna

På gång