Guide: Så skriver du tydliga datahanteringsavtal enligt GDPR

Att du måste ha ett avtal som kunden godkänner för att du ska få spara deras personuppgifter är du förmodligen bekant med sedan innan. Tack vare personuppgiftslagen har det inte varit tillåtet att spara uppgifter hur som helst, men däremot har det inte funnits särskilt mycket krav på hur det ska gå till när du ber om kundens godkännande, och det är framför allt här den stora förändringen sker när GDPR, det vill säga General Data Protection Regulation, träder i kraft.

Vad stod det då i personuppgiftslagen, och hur skiljer det sig från vad som står i GDPR? Jo, personuppgiftslagen sa att du får behandla personuppgifter, om den som du registrerar ger sitt godkännande till det (eller om lagen kräver att du gör det). Det betydde i praktiken att det var okej att ha ett jättelångt avtal som visserligen tog upp datahantering någonstans, men som ingen orkade läsa. Dessutom kunde kunden godkänna avtalet med en förkryssad ruta. GDPR, däremot, ställer både krav på att kunden aktivt ska ge sitt samtycke (inga förkryssade rutor!) och du får inte heller utforma avtalen hur som helst.

Såhär säger den svenska översättningen av GDPR, Dataskyddsförordningen, att du ska göra när du ber om tillstånd för att samla in data:

Om den registrerades samtycke lämnas i en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form, med användning av klart och tydligt språk.

Det innebär alltså att om du skriver ett avtal där du berättar om datahantering, men också om annat, måste du ta hänsyn till ovanstående citat i just datahanteringsdelen av avtalet. Här nedanför kommer vi att titta ännu närmare på vad det betyder för dig som skriver avtalen, och ge tre konkreta tips på hur du gör för att skriva dem.

Skriva avtal enligt GDPR i tre steg – så gör du

När du ska skriva ett avtal finns det alltså en del nya krav på hur du uttrycker dig, som gäller specifikt för den delen av avtalet som berör datahanteringen. Här har vi delat upp kraven i tre delar och ger dig tips på hur du går tillväga för att nå upp till kravet.

Krav 1: Delen om datahantering ska skilja sig från resten av avtalet

Den här förändringen i avtalet är egentligen inte särskilt knepig att åstadkomma: om du har ett avtal som berättar om er datahantering, men som också tar upp annat, som till exempel bindningstider, lösenordskrav och medlemsförmåner, måste delen som handlar om datahantering märkas ut på något sätt. Det ska vara lätt för den som läser att snabbt orientera sig i avtalet och hitta delen om datahanteringen.

Du ska alltså inte: skriva en enda löpande text med alla villkor för allt möjligt samlat utan att separera dem.

Du ska hellre: låta delen om datahantering stå separat från resten av avtalet, gärna på en egen sida och med några grafiska markörer
ge delen om datahantering en tydlig rubrik som berättar för läsarna att de kan läsa om datahantering just där
dela upp resten av avtalet efter ämnen på samma sätt. GDPR kräver det visserligen inte, men det är en fin bonus att ge till läsarna.
Exempel på ett bra avtal

Såhär kan ett avtal se ut när det är tydligt uppdelat:

Krav 2: Delen om datahantering ska ha en begriplig och lättillgänglig form
För att formen ska bli så lättillgänglig som möjligt är det en viktig fråga som du måste börja med att ställa dig: hur mycket behöver du berätta för läsarna? Du ska förstås inkludera allt sånt som GDPR kräver, men ofta har vi en tendens att skriva betydligt mer än vad som egentligen behövs. Försök hålla det så kort som möjligt. Dessutom ska det förstås gå att läsa avtalet utan att störas av en rörig bakgrundsbild, långa stycken eller att texten är alldeles för liten.

När du sedan skriver själva innehållet behöver du ha en logisk ordning på saker och ting, för att hålla dig till kravet på begriplighet. Information som handlar om samma sak ska stå på samma ställe, rubrikerna ska vara informativa och blir det ett långt avtal tjänar du på att sammanfatta det viktigaste i till exempel en punktlista. Då kan den som bara vill läsa överskådligt titta där först för att få en snabb överblick.

Du ska alltså inte: Ta med sådan information som inte är relevant för läsarna.

Du ska hellre: Välja information som är nödvändig och relevant. Tänka på avtalets utseende, både för olika skärmar och utskrift. Sammanfatta och skriva punktlistor där det behövs.

Krav 3: Delen om datahantering ska ha ett klart och tydligt språk

Det tredje och sista du kan göra för att nå upp till kraven i dataskyddsförordningen är att se till att språket är tydligt och lätt att hänga med i för läsaren. Villkor och avtal innehåller ju ofta en del termer som inte går att undvika, men det går alltid att förklara dem och förbättra språket i texten på andra sätt.

Tala om vem som ska göra något

Börja med att fundera på hur du berättar om saker som ska göras i avtalet. Är det tydligt att någon ska göra något, och vem som ska göra det? Två tecken på att du är rätt ute är att det finns personer med (organisationen, den personuppgiftsansvariga eller kunden, till exempel) och att det finns gott om verb som signalerar själva händelserna.

Skriv inte: Avtalet kan komma att förändras vilket kräver ett nytt godkännande.

Skriv hellre: Vi på Företaget AB kan komma att ändra avtalet, vilket kräver att kunden godkänner avtalet på nytt.

Krångla inte till det

Du kanske har funderat på att kopiera vad som står i den svenska dataskyddsförordningen och på så sätt vara säker på att du fått med allt. Men tyvärr är det inte en särskilt bra idé, eftersom dataskyddsförordningen är en juridisk och ganska krånglig text att läsa. Den innehåller en hel del sådant som du ska undvika: långa meningar, många parenteser och krånglig meningsbyggnad som gör det svårt att hänga med i resonemanget. Det är betydligt bättre att själv skriva vad det är som gäller, och försöka hålla språket enkelt.

Skriv inte: I syfte att upprätthålla en god kund- och registervård (eller för att kunna tillhandahålla tjänsten på bästa sätt) kan Företaget AB komma att komplettera uppgifterna som kunden lämnat vid registrering på hemsidan eller genom kontakt med kundtjänst med uppgifter från privata och offentliga register, som till exempel statens personadressregister SPAR.

Skriv hellre: Företaget AB kan behöva komplettera de uppgifter som kunden lämnar vid registrering på hemsidan eller via vår kundtjänst. Det gör vi till exempel genom att hämta kundens adressuppgifter från statens personadressregister SPAR. Vi kompletterar uppgifterna för att kunna tillhandahålla tjänsten och att upprätthålla en god kund- och registervård.

Var konsekvent

Nästa steg är att se till att du är konsekvent i hur du benämner din organisation, kunden, data och annat som återkommer i avtalet. Välj ett namn för varje viktig företeelse och berätta i avtalets inledning att du kommer att använda just det ordet i resten av avtalet. Det här gör det mycket lättare för läsarna att hänga med, och det blir dessutom lättare för dig när du måste skilja på saker.

Ett exempel: Om du använder ordet “vi” utan att precisera vem det handlar om skulle det kunna betyda du och läsaren, du och dina kollegor på avdelningen, hela organisationen eller kanske organisationen och alla underleverantörer. Om du istället berättar att “vi” betyder “organisationen, de anställda men inte våra leverantörer” kan du helt enkelt välja andra ord när du vill inkludera andra personer.

Skriv inte: Det här är medlemsvillkoren för Företaget AB.

Skriv hellre: Det här är medlemsvillkoren för Företaget AB. När vi pratar om “Företaget AB”, “vi”, “vår”, “våra” och “oss” i de här villkoren menar vi Företaget AB och dess anställda, men inte våra underleverantörer.