Personuppgiftspolicy

Dataskyddsförordningen (GDPR) ställer långtgående krav på transparens och informationsgivning. Den som behandlar personuppgifter ska inte bara göra det på ett lagligt sätt, utan också säkerställa att de registrerade förstår hur deras uppgifter används.

En central del i detta arbete är personuppgiftspolicyn. Policyn fungerar som det primära verktyget för att uppfylla informationsskyldigheten och skapa förtroende. Samtidigt är den ett praktiskt styrdokument som hjälper organisationen att strukturera sin personuppgiftsbehandling.

Denna guide syftar till att ge en praktiskt orienterad genomgång av vad en personuppgiftspolicy är, vad den bör innehålla och hur den bör utformas för att uppfylla kraven enligt GDPR.

En personuppgiftspolicy är ett dokument som beskriver hur en organisation behandlar personuppgifter. Den utgör kärnan i organisationens informationsgivning gentemot registrerade och är ofta det mest synliga uttrycket för dataskyddsarbetet.

Syftet med policyn är i första hand att uppfylla informationsskyldigheten enligt GDPR. Den ska göra det möjligt för den registrerade att förstå vilka uppgifter som behandlas, varför behandlingen sker, hur länge uppgifterna sparas och vilka rättigheter som finns. Samtidigt fyller policyn en viktig funktion ur ett förtroendeperspektiv, eftersom tydlig och korrekt information bidrar till transparens och tillit.

Informationsskyldigheten innebär att organisationen ska lämna relevant information när personuppgifter samlas in, eller vid första kontakten om uppgifterna hämtas från andra källor. Policyn är i praktiken det främsta verktyget för att uppfylla detta krav, och den publiceras normalt på webbplatsen eller tillhandahålls i samband med att uppgifter samlas in.

Många organisationer använder flera olika policyer beroende på sammanhang. Det är vanligt med en generell policy för kunder och användare samt en särskild policy för anställda. Skälet är att personuppgiftsbehandlingen ofta skiljer sig mellan olika kategorier av registrerade, både vad gäller ändamål och rättslig grund.

• Policy för behandling av personuppgifter 2026
  Ladda ner
• Policy för behandling av personuppgifter Anställda 2026
  Ladda ner
• Policy för behandling av personuppgifter Anställda Engelsk 2026
  Ladda ner
• Policy för behandling av personuppgifter Engelsk 2026
  Ladda ner

Informationsskyldigheten enligt GDPR handlar inte bara om att information ska finnas tillgänglig, utan om att den ska lämnas vid rätt tidpunkt och i rätt sammanhang.

När personuppgifter samlas in direkt från den registrerade ska informationen lämnas i samband med insamlingen. Det kan exempelvis ske vid registrering av kundkonto, beställningar, rekryteringsprocesser eller användning av digitala tjänster. Den registrerade ska då ges möjlighet att ta del av informationen innan eller samtidigt som uppgifterna lämnas.

Om personuppgifter i stället samlas in från andra källor, exempelvis offentliga register eller samarbetspartners, ska information lämnas inom rimlig tid – normalt senast inom en månad. Om uppgifterna används för kontakt ska informationen lämnas vid första kontakten.

Hur informationen presenteras är lika viktigt som när den lämnas. Den ska vara tydlig, lättillgänglig och formulerad på ett klart språk. I praktiken innebär detta att juridiskt komplexa formuleringar bör undvikas och att informationen anpassas till mottagaren och sammanhanget.

I digitala miljöer används ofta kompletterande informationslösningar, såsom kortfattad information direkt i formulär. Detta gör det möjligt att presentera relevant information där den faktiskt behövs, vilket stärker förståelsen.

Informationsskyldigheten kan även aktualiseras i särskilda situationer, exempelvis vid personuppgiftsincidenter. Om en incident innebär en hög risk för den registrerades rättigheter ska organisationen informera om vad som inträffat och vilka konsekvenser det kan få.

När organisationen behandlar personuppgifter om flera olika grupper kan det vara lämpligt att anpassa informationen efter målgrupp. Det kan ske genom separata policyer eller genom tydliga avsnitt för olika kategorier av registrerade.

En personuppgiftspolicy är i grunden ett informationsdokument och måste därför vara strukturerad på ett sätt som gör den lätt att förstå och navigera i. Även om dataskyddsförordningen inte föreskriver en exakt struktur har det utvecklats en relativt standardiserad uppbyggnad i praktiken.

En väl fungerande policy innehåller normalt en inledning som förklarar syftet och vilken målgrupp policyn riktar sig till. Därefter följer en beskrivning av personuppgiftsansvarig, vilka uppgifter som behandlas, varför behandlingen sker och vilken rättslig grund som används.

Den centrala delen av policyn bör beskriva den faktiska personuppgiftsbehandlingen på ett konkret sätt. Det är viktigt att koppla informationen till verkliga situationer i verksamheten, exempelvis kundrelationer, beställningar eller användning av digitala tjänster. Detta gör policyn mer begriplig för den registrerade.

Vidare bör policyn innehålla information om lagring och gallring av personuppgifter. Den registrerade ska kunna förstå hur länge uppgifter sparas och vilka kriterier som ligger till grund för lagringstiden.

En annan central del är beskrivningen av registrerades rättigheter. Policyn ska förklara vilka rättigheter som finns enligt GDPR och hur dessa kan utövas i praktiken.

Avslutningsvis bör policyn innehålla tydliga kontaktuppgifter samt information om hur och när policyn kan komma att uppdateras.

Behandling av personuppgifter i arbetslivet skiljer sig från behandling av kunduppgifter, både i omfattning och komplexitet. Arbetsgivare behandlar personuppgifter i en rad olika situationer och för flera olika ändamål, ofta under lång tid.

En personuppgiftspolicy för anställda bör därför tydligt beskriva vilka uppgifter som behandlas, varför behandlingen sker och vilka rättigheter de anställda har. Policyn fungerar som ett viktigt verktyg för att säkerställa transparens i en situation där det finns en maktobalans mellan arbetsgivare och arbetstagare.

Personuppgifter i arbetslivet kan omfatta allt från identitets- och kontaktuppgifter till löneuppgifter, frånvaro, kompetens och uppgifter från IT-system. I vissa fall behandlas även känsliga uppgifter, exempelvis om hälsa, vilket ställer särskilda krav på rättsligt stöd och tydlig information.

Behandlingen sker normalt för ändamål som är kopplade till anställningsförhållandet, såsom administration, lönehantering, arbetsmiljöarbete och uppfyllande av rättsliga skyldigheter. Den rättsliga grunden är sällan samtycke, utan i stället avtal, rättslig förpliktelse eller berättigat intresse.

Policyn bör även beskriva hur länge uppgifter sparas, vilka funktioner inom organisationen som har tillgång till uppgifterna och i vilka fall externa leverantörer behandlar personuppgifter.

De anställdas rättigheter enligt GDPR ska också framgå tydligt, tillsammans med information om hur dessa rättigheter kan utövas.

En personuppgiftspolicy måste inte bara vara korrekt – den måste också vara tillgänglig. GDPR ställer krav på att information ska vara enkel att ta del av.

För de flesta organisationer innebär detta att policyn publiceras på webbplatsen, ofta via en tydlig länk i sidfoten. Policyn bör också vara lätt att nå i situationer där personuppgifter samlas in, exempelvis vid registreringar, beställningar och kontaktformulär.

I digitala tjänster och appar bör policyn integreras i användarflödet, exempelvis genom länkar i registreringsprocesser eller särskilda informationsrutor. Det är också vanligt att kombinera policyn med kortfattad information direkt i relevanta moment.

För anställda görs policyn normalt tillgänglig via interna kanaler, såsom intranät, personalhandböcker eller HR-system. Det är viktigt att de anställda enkelt kan ta del av informationen.

När policyn uppdateras bör organisationen också säkerställa att registrerade informeras om förändringar som påverkar dem. Detta kan ske genom uppdateringar på webbplatsen eller genom direkt kommunikation.