två flickor besöker marinmuseum

GDPR & dataskydd för besöksnäringen i Blekinge

GDPR – dataskyddsförordningen – har gällt i hela EU sedan 2018 och ersatte då den tidigare personuppgiftslagen. För företag inom besöksnäringen i Blekinge innebär det ett tydligt ansvar: all hantering av gästers, medarbetares och samarbetspartners personuppgifter ska vara laglig, säker och transparent. 

Förordningen är inte ett förbud mot att behandla personuppgifter. Den ställer krav på hur ni behandlar uppgifterna, varför ni gör det, hur länge de sparas och hur ni informerar personerna det gäller.

 

 

Vad innebär GDPR i praktiken?

Alla verksamheter som hanterar personuppgifter måste följa GDPR:s grundläggande principer: 

  • Laglighet & ändamålsbegränsning – ni måste ha ett tydligt syfte och en rättslig grund (t.ex. avtal, rättslig förpliktelse, berättigat intresse eller samtycke).
  • Uppgiftsminimering – samla inte in mer data än vad ni faktiskt behöver.
  • Riktighet – se till att uppgifterna är korrekta och uppdaterade.
  • Lagringsminimering – spara inte uppgifter längre än nödvändigt; införa rutiner för gallring.
  • Integritet & konfidentialitet – skydda uppgifterna med tekniska och organisatoriska säkerhetsåtgärder (t.ex. åtkomstkontroll, kryptering, backup).
  • Ansvarsskyldighet – ni ska både följa reglerna och kunna visa hur ni gör det.

För att fördjupa dig är Integritetsskyddsmyndigheten (IMY) den viktigaste källan i Sverige (imy.se). 
 

 

 

 

Aktuella GDPR-frågor för besöksnäringen 2024–2025

Några områden är särskilt viktiga för hotell, campingar, aktivitetsföretag, restauranger och evenemang:

 

1. Tekniska och organisatoriska säkerhetsåtgärder

Tillsynsmyndigheter i Europa har de senaste åren skärpt tillämpningen mot företag som inte har tillräckliga säkerhetsåtgärder – särskilt inom boende- och hospitalitysektorn. Brister i säkerhet vid cyberincidenter, intrång eller bedrägerier har lett till konkreta sanktionsavgifter. 

För dig innebär det:

  • Använd säkra system för bokningar, betalningar och gästkommunikation.
  • Sätt upp rollbaserad behörighet – alla ska inte se all gästdata. 
  • Hotelogix Blog
  • Se till att leverantörer (t.ex. PMS, CRM, bokningssystem) har dataskyddsavtal (biträdesavtal).

 

2. Kamerabevakning på hotell, camping, restaurang & event

Kamerabevakning är känsligt och omfattas både av GDPR och kamerabevakningslagen. IMY har särskilda riktlinjer och en arbetsgång för att bedöma om bevakning är tillåten, inklusive särskilda exempel för restauranger, barer och klubbar. 

Tänk särskilt på att:

  • göra en intresseavvägning innan ni sätter upp kameror,
  • begränsa kameror i utrymmen där gäster och personal har en rimlig förväntan på integritet,
  • informera tydligt om kamerabevakning,
  • ha tydliga rutiner för lagringstider och åtkomst till materialet.

 

3. Internationalisering & dataöverföringar

Jobbar ni mot utländska marknader, använder molntjänster utanför EU eller samarbetar med internationella aktörer? Då är reglerna för överföring till tredjeland och samspelet med annan EU-lagstiftning (t.ex. Digital Services Act) viktiga att ha koll på. Europeiska dataskyddsstyrelsen (EDPB) har nyligen uppdaterat riktlinjer om internationella överföringar. 

 

4. Kundklubbar, lojalitetsprogram & marknadsföring

Lojalitetsprogram och nyhetsbrev är vanliga i besöksnäringen. De kan innebära avancerad profilering och kräver tydlig information, rättslig grund (ofta samtycke) och enkelt utträde. Aktuell praxis lyfter att dataskydd i lojalitetsprogram är centralt för förtroende och regelefterlevnad. 
 

 

 

 

Kort GDPR-checklista för företag i Blekinges besöksnäring

Du som driver hotell, vandrarhem, aktivitetsbolag, restaurang, camping eller evenemang kan använda detta som en “miniminivå”:

  • Kartlägg alla personuppgifter
  • Gäster, bokningar, nyhetsbrev, kamera, anställda, samarbetspartners.
  • Bestäm rättslig grund per behandling
  • Avtal (bokning), rättslig förpliktelse (bokföring), berättigat intresse eller samtycke. 

 

 

Skapa/uppdatera integritetspolicy

Beskriv vilka uppgifter, varför, hur länge och vilka rättigheter gästen har (t.ex. rätt till registerutdrag, rättelse, radering).

  • Inför dataskyddsavtal med systemleverantörer
  • Bokningssystem, nyhetsbrevsverktyg, molnlagring, kamera, PMS m.m.
  • Sätt rutiner för gallring & lagringstider
  • Vad raderas när? Skilj på sådant som måste sparas (t.ex. bokföring) och sådant som “bara blev kvar”. 

 

 

Begränsa åtkomst internt

  • Rollbaserad åtkomst, stark autentisering, loggning av känsliga system. 
  • Hotelogix Blog
  • Utbilda personalen
  • Grundläggande GDPR, hantering av gästdata, hur man svarar på rättighetsbegäranden.
  • Plan för incidenter
  • Rutiner om något händer (felaktig utskick, förlorad dator, intrång) – när och hur anmäla personuppgiftsincident till IMY. 

För mer fördjupning finns generella GDPR-checklistor som kan anpassas till besöksnäringens behov. 
GDPR.eu
 

 

Integritetsskyddsmyndigheten – din viktigaste källa

IMY (Integritetsskyddsmyndigheten) är Sveriges tillsynsmyndighet för dataskydd och har: 

  • översikter över vad som gäller enligt GDPR,
  • fördjupning om grundläggande principer,
  • vägledningar för kamerabevakning,
  • beslut och tillsyner som är värdefulla att lära av (bl.a. hotell/restaurang).

Rekommendation: länka gärna med formuleringar som:

  • Läs mer om vad som gäller enligt dataskyddsförordningen på imy.se
  • Visitas Arbetsgivarguide – GDPR ur arbetsgivarperspektiv
  • Om du har anställda i ditt företag hanterar du automatiskt stora mängder personuppgifter – t.ex. namn, kontaktuppgifter, lön, schema och sjukfrånvaro. Visita erbjuder som bransch- och arbetsgivarorganisation riktat stöd för hotell, restaurang och besöksnäring. 

 

 

 

Visitas Arbetsgivarguide

Arbetsgivarguiden ger dig som medlem:

  • vägledning om GDPR kopplat till personaldata,
  • hur du får behandla uppgifter om anställda,
  • exempel och tolkningar kopplade till kollektivavtal och arbetsrätt,
  • praktiska råd vid rekrytering, referenser och känsliga uppgifter.

Tips i din text:

“Som arbetsgivare inom besöksnäringen rekommenderar vi dig som är medlem i Visita att använda Arbetsgivarguiden för att säkerställa att du hanterar personalens uppgifter enligt GDPR.”

 

 

Visitas Företagsguide – lagar, regler & tillstånd

Utöver GDPR-frågor kring personal finns många andra regelområden som berör besöksnäringen: hyra, livsmedel, miljö, tillstånd m.m. I Företagsguiden samlar Visita information om lagar, regler och tillstånd som påverkar hotell, restaurang och andra turistföretag. 
Förfinad text om Företagsguiden:

Via Visitas Företagsguide får du som medlem samlad information om de regelverk som styr din verksamhet – från hyres- och fastighetsfrågor till livsmedelshygien, miljökrav och andra lagar som påverkar din vardag som företagare.

Du kan också hämta inspiration från hur Visita själva beskriver sin behandling av personuppgifter i sin integritetsskyddspolicy, som ett exempel på tydlig GDPR-information. 
Visita