GDPR för hantverksföretag: hantera kunduppgifter rätt
Som hantverkare samlar du in personuppgifter hela dagarna utan att tänka på det: namn och adress när någon bokar, telefonnummer för att ringa inför besöket, foton på badrummet, personnummer på ROT-underlaget och kanske fakturahistorik flera år tillbaka. Allt detta omfattas av GDPR. Den goda nyheten är att ett vanligt el-, VVS- eller snickeriföretag inte behöver bygga en juristavdelning för att göra rätt. Du behöver förstå några grundprinciper och rensa bort de slarvigaste vanorna.
Den här guiden är skriven för dig som driver ett mindre hantverksföretag i Sverige. Tillsynsmyndigheten heter Integritetsskyddsmyndigheten (IMY), och det är dit både klagomål och allvarliga incidenter går. Reglerna ändras sällan, men eftersom de tolkas löpande bör du verifiera detaljer mot imy.se innan du fattar viktiga beslut.
Vilka uppgifter behandlar ett hantverksföretag?
Personuppgift är allt som kan kopplas till en levande person. För ett typiskt fältserviceföretag handlar det oftast om:
- Kontaktuppgifter — namn, adress, telefon, e-post från bokningar och förfrågningar.
- Foton från arbetsplatsen — bilder på en bostad kan i sig vara en personuppgift, särskilt om de visar hemmiljön.
- Personnummer — ofta nödvändigt för ROT-avdrag och fakturering, men ska bara användas när det verkligen behövs.
- Fakturor och betalningshistorik — som dessutom omfattas av bokföringsreglerna.
- Anställdas uppgifter — tider, stämplingar, ibland positionsdata från en geofencad stämpelklocka.
Notera att personnummer har ett extra skydd i Sverige: det får bara behandlas när det är klart motiverat, exempelvis för säker identifiering eller skatteunderlag. Att skriva personnummer i ämnesraden på mejl eller i en öppen chatt är en klassisk miss.
Du behöver en rättslig grund — och oftast har du redan en
GDPR kräver att varje behandling vilar på en rättslig grund. Du behöver inte hämta in samtycke till allt — samtycke är faktiskt ofta den sämsta grunden eftersom det kan återkallas. För hantverksföretag är dessa tre vanligast:
- Avtal — du behöver kundens uppgifter för att utföra och fakturera jobbet. Detta täcker det mesta i kundrelationen.
- Rättslig förpliktelse — bokföringslagen och skattereglerna tvingar dig att spara fakturaunderlag, vilket ger laglig grund att behålla dem.
- Berättigat intresse — exempelvis att höra av sig till en tidigare kund med ett serviceerbjudande, om kundens intresse av integritet inte väger tyngre. Här bör du göra en enkel intresseavvägning och kunna motivera den.
Poängen är inte att fylla i blanketter, utan att du för varje typ av uppgift kan svara på frågan: varför har vi den här, och med vilken rätt?
Hur länge får du spara — och när måste du rensa?
Detta är den fråga som ställer till mest förvirring, för två regelverk drar åt olika håll. GDPR säger att du inte ska spara personuppgifter längre än nödvändigt (lagringsminimering). Samtidigt kräver bokföringslagen att du sparar räkenskapsinformation i sju år efter räkenskapsårets slut — och den lagen väger tyngre, eftersom den är just en sådan rättslig förpliktelse som GDPR gör undantag för.
I praktiken betyder det:
- Har du fakturerat en kund får och bör fakturaunderlaget ligga kvar i sju år. Du behöver alltså inte radera en kund bara för att hen ber om det, om uppgifterna ligger i bokföringen.
- Har du inte fakturerat en kontakt — bara en förfrågan som rann ut i sanden — finns ingen bokföringsgrund. Sådana uppgifter bör gallras när de inte längre fyller en funktion.
- När de sju åren passerat ska bokföringsuppgifter med personuppgifter gallras, om du inte har en annan giltig grund att behålla dem.
Ett bra mönster är att separera: aktiva kunder i ditt arbetsverktyg, avslutade fakturor arkiverade så de inte ligger framme i den dagliga driften. Bekräfta alltid de exakta lagringstiderna och eventuella undantag med Skatteverket och Bokföringsnämnden, eftersom detaljer kan ändras.
Fem konkreta steg du kan ta den här veckan
Du behöver inte göra allt på en gång. Börja här:
- Skriv en registerförteckning. En enkel lista över vilka uppgifter ni behandlar, varför, på vilken grund och hur länge. Den ska finnas skriftligt och kunna visas upp för IMY. Ett A4 räcker långt för ett litet bolag.
- Städa i mejl och mobiler. Sluta skicka personnummer i klartext. Se till att gamla telefoner med kundbilder rensas innan de byts ut.
- Begränsa vem som ser vad. Alla anställda behöver inte tillgång till hela kundregistret. Behörigheter är en av de billigaste säkerhetsåtgärderna som finns.
- Kontrollera dina underleverantörer. Bokföringsprogram, molnlagring och bokningssystem behandlar uppgifter åt dig — för dessa behövs ett personuppgiftsbiträdesavtal.
- Ha en plan för incidenter. Tappar någon en olåst telefon, eller går ett mejl med kunduppgifter till fel mottagare, kan det vara en personuppgiftsincident som ska anmälas till IMY inom 72 timmar om den innebär en risk för de berörda.
Mycket av detta blir enklare om systemen redan är byggda för det. I FieldApp ligger bokning, ROT-underlag, fakturering och fältdokumentation i ett tenant-isolerat system med behörighetsstyrning, och faktureringen synkas till Fortnox där bokföringen sköts — så att räkenskapsdata hamnar på rätt ställe i stället för att spridas i lösa mejltrådar.
Vad händer om man inte sköter det?
De flesta små hantverksföretag riskerar inte rekordböter, men sanktionerna är reella. Enligt GDPR kan en sanktionsavgift för de allvarligaste överträdelserna uppgå till 20 miljoner euro eller 4 procent av den globala årsomsättningen, beroende på vilket som är högst; för mindre allvarliga fall är taket 10 miljoner euro eller 2 procent. Avgiften kan i praktiken landa var som helst från noll upp till taket, och IMY tar hänsyn till företagets storlek och hur allvarlig bristen är.
Det vanligaste i verkligheten är inte en jätteböter utan ett klagomål från en kund eller en granne som tycker att deras uppgifter hanterats slarvigt — och då vill du kunna visa att ni har ordning och reda. Att kunna svara på vad ni sparar, varför och hur länge är 90 procent av jobbet.
Vill du samla bokning, ROT-underlag och fakturering i ett system som är byggt för svenska hantverkare från grunden? Testa FieldApp kostnadsfritt i 14 dagar och se hur mycket lugnare datahanteringen blir när den sitter ihop.
Vanliga frågor
Behöver mitt lilla hantverksföretag ett dataskyddsombud?
Nästan aldrig. Kravet på dataskyddsombud träffar främst myndigheter och verksamheter med storskalig eller känslig behandling. Ett vanligt el-, VVS- eller snickeriföretag behöver normalt inget ombud — men du ansvarar fortfarande själv för att följa reglerna. Verifiera din specifika situation hos IMY om du är osäker.
Måste jag radera en kund som ber om det enligt GDPR?
Inte om uppgifterna finns i din bokföring. Rätten att bli raderad väger inte tyngre än bokföringslagens krav att spara räkenskapsinformation i sju år. Du kan radera kontaktuppgifter som inte hör till en faktura, men fakturaunderlag får och ska ligga kvar tills lagringstiden gått ut.
Får jag spara personnummer för ROT-avdrag?
Ja, när det behövs för att administrera ROT-avdrag och skatteunderlag har du grund för det. Personnummer har dock extra skydd i Sverige och ska bara användas när det är klart motiverat. Skicka det aldrig i klartext via mejl eller chatt, och bekräfta aktuella ROT-regler med Skatteverket.
Vad räknas som en personuppgiftsincident och när ska den anmälas?
Det är när personuppgifter förloras, läcker eller hamnar hos fel person — till exempel en borttappad olåst telefon eller ett mejl till fel mottagare. Innebär incidenten en risk för de berörda ska den anmälas till IMY inom 72 timmar från upptäckt. Dokumentera alltid vad som hänt, även om du bedömer att anmälan inte behövs.
Behöver jag avtal med mitt bokförings- eller bokningssystem?
Ja. Leverantörer som behandlar kunduppgifter åt dig är personuppgiftsbiträden, och då krävs ett personuppgiftsbiträdesavtal som reglerar hur de får hantera uppgifterna. Seriösa molnsystem tillhandahåller ett sådant avtal — kontrollera att det finns på plats för varje tjänst som lagrar dina kunders data.
Allt-i-ett för ditt fältserviceföretag
Bokning, offert med ROT, schema, offline-app, tidrapport och fakturering – i ditt eget varumärke.
Testa FieldApp gratis