Sedan 2018 har GDPR skrämt små företag. Historier om böter på 20 miljoner euro cirkulerar och förlammar små cheferna som säger "jag är chanslös, jag följer inte reglerna".
Verkligheten är enklare. CNIL har aldrig straffat ett litet företag som gör en rimlig ansträngning för att följa reglerna. Det går efter webbjättarna, företag som säljer personuppgifter, återfallsförbrytare. Inte efter rörmokaren som har en Excel-lista över kunder.
Det befriar dig inte från att göra din del. Men ansträngningsnivån är helt hanterbar.
De 5 åtgärderna som täcker 80% av dina skyldigheter
Åtgärd 1: behandlingsregistret (grunderna)
Det är GDPR:s centrala dokument. Det listar de personuppgifter du samlar in, varför, och hur länge du sparar dem.
För ett typiskt litet företag får det plats på en sida:
| Behandling | Insamlade data | Syfte | Lagringsperiod |
|---|---|---|---|
| Kundfil | Namn, e-post, telefon, adress | Affärshantering | 3 år efter senaste kontakt |
| Redovisning | Namn, adress, fakturanummer | Juridisk skyldighet | 10 år |
| Löner (om anställda) | Personuppgifter, personnummer, kontonummer | Lönehantering | 5 år efter avgång |
| Webbplats | Cookies, IP, kontaktformulär | Marknadsföring, analys | 13 månader (cookies), 3 år (formulär) |
| Nyhetsbrev | E-post | Kommunikation | Tills avprenumeration |
CNIL erbjuder en gratis mall på sin webbplats. Fyll i den på 30 minuter och uppdatera den en gång per år.
Åtgärd 2: informering av personer
Du måste informera de personer vars data du samlar in. I praktiken:
-
På din webbplats: en sida för "Integritetspolicy" (eller "Dataskydd") tillgänglig från sidfoten. Beskriv på enkelt språk vilka data du samlar in, varför, hur länge du sparar dem, och hur man använder sina rättigheter.
-
I dina formulär: en mening under varje kontaktformulär: "De insamlade uppgifterna används för att svara på din förfrågan. Du kan utöva dina rättigheter genom att kontakta oss på [e-postadress]. Se vår integritetspolicy."
-
För dina anställda: ett dokument som överlämnas vid anställning som listar de uppgifter som samlas in i samband med arbetsrelationen.
Åtgärd 3: cookiehantering
Om din webbplats använder cookies för besökarstatistik (Google Analytics, Matomo) eller annonsering, måste du få uttryckligt samtycke från besökaren INNAN dessa cookies placeras.
Åtgärden: installera ett cookie-banner som följer reglerna. Gratis lösningar som Tarteaucitron.js eller Cookiebot (gratis upp till 100 sidor) gör jobbet.
Undantag: cookies som är strikt nödvändiga för webbplatsens funktionalitet (autentisering, shoppingkorg) kräver ingen samtycke.
Alternativ: använd Matomo i "samtyckesfritt" läge (CNIL-deklaration). Du behåller din statistik utan cookie-banner.
Åtgärd 4: datasäkerhet
GDPR kräver att du skyddar personuppgifter med "lämpliga tekniska och organisatoriska åtgärder". För ett litet företag betyder det:
- Starka och unika lösenord (se cybersäkerhet-artikeln)
- Säkerhetspatch tillämpade
- Regelbundna säkerhetskopior
- Begränsad åtkomst till data (inte alla har tillgång till allt)
- Kryptering av bärbara datorer
Det är varken mer eller mindre än de bra datasäkerhetspraxis du bör tillämpa ändå.
Åtgärd 5: hantering av personers rättigheter
GDPR ger personer rättigheter över sina data: åtkomst, rättelse, radering, dataportabilitet. I praktiken får små företag mycket få sådana förfrågningar.
Åtgärden: utse en kontaktperson (du själv eller en kollega) och en e-postadress för kontakt (typ dataskydd@dittföretag.se). När en förfrågan kommer in, svara inom en månad. Det är allt.
Vad som kan vänta
Dataskyddombud (DPO) — obligatoriskt endast för företag som behandlar data i stor skala eller känslig data. Ett litet företag med 5 personer behöver inget dataskyddombud.
Konsekvensbedömning (DPIA) — obligatorisk endast för behandlingar med höga risker (storskalig videoövervakning, systematisk profilering, hälsodata). Din snickares kundfil är ingen behandling med höga risker.
GDPR-certifiering — ingen certifiering är obligatorisk. Företag som säljer "GDPR-certifieringar" utnyttjar rädslan. Efterlevnad är en kontinuerlig process, inte ett märke.
Vid dataintrång
Om personuppgifter läcker (hacking, förlorad USB-nyckel, e-post skickad till fel mottagare), har du 72 timmar på dig att anmäla CNIL om intrånget utgör en risk för personer.
Anmälningsformuläret finns online på CNIL:s webbplats. Fyll i det ärligt: vad som hände, hur många personer som är berörda, vilka åtgärder du har vidtagit.
CNIL är mer överseende med ett företag som anmäler snabbt än med ett företag som döljer incidenten.
GDPR är ingen byråkratisk monster för små företag. Det är ett ramverk baserat på sunt förnuft: skydda dina kunders data som du gärna skulle vilja att någon skyddar dina.