En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.

• Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
• Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.

I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.

Mer information:

• Personuppgiftsincidenter

I avtalet mellan den pesonuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet

• behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
• säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
• säkerställer säkerheten vid behandlingen,
• inte får anlita ett annat personuppgiftsbiträde utan den personuppgiftsansvariges särskilda eller allmänna skriftliga tillstånd,
• bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
• bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
• efter den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
• gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt den allmänna dataskyddsförordningen efterlevs,
• möjliggör och bidrar till revisioner, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan revisor som den personuppgiftsansvarige bemyndigat.

Dessutom ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om den anser att instruktioner strider mot den allmänna dataskyddsförordningen eller andra EU-bestämmelser eller nationella dataskyddsbestämmelser.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

GDPR eller den allmänna dataskyddsförordningen skapar en harmoniserad uppsättning regler som är tillämpliga på all behandling av personuppgifter som utförs av organisationer (offentliga eller privata, oavsett storlek) som är etablerade i Europeiska ekonomiska samarbetsområdet (EES) eller riktar sig till enskilda personer i EU. Det primära syftet med GDPR är att säkerställa att personuppgifter har samma höga skyddsnivå överallt inom EES, öka rättssäkerheten för både enskilda och organisationer som behandlar personuppgifter och erbjuda en hög skyddsnivå för enskilda personer.

Förordningen trädde i kraft den 24 maj 2016 och gäller sedan den 25 maj 2018.

Pseudonymisering består i att omvandla personuppgifter så att de inte längre kan tillskrivas en viss person utan användning av ytterligare information, förutsatt att sådan ytterligare information hålls separat och är föremål för tekniska och organisatoriska skyddsåtgärder för att säkerställa att personuppgifterna inte tillskrivs enskilda personer. I praktiken kan det innebära att personuppgifter (namn, förnamn, personnummer, telefonnummer osv.) ersätts med indirekta identifieringsuppgifter (alias, löpnummer osv.). Pseudonymiserade uppgifter är fortfarande personuppgifter och omfattas av GDPR.

Anonymiserade uppgifter är uppgifter som har anonymiserats på ett sådant sätt att den enskilde inte längre kan identifieras på något sätt som rimligen kan komma att användas. När anonymiseringen genomförs korrekt gäller GDPR inte längre de anonymiserade uppgifterna.

Mer information:

• Säkra personuppgifter

Vissa typer av personuppgifter, så kallade känsliga personuppgifter,  utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:

• en individs hälsa
• en persons sexuella läggning
• en persons ras eller etniska ursprung
• en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
• en individs biometriska och genetiska data

Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.

Mer information:

• Grunderna för dataskydd

Med personuppgifter avses all information som rör en identifierad eller identifierbar person. En identifierbar person är alla som kan identifieras, antingen direkt eller indirekt. Även olika uppgifter som genom att läggas ihop kan leda till identifiering av en viss person utgör personuppgifter.

Exempel på personuppgifter är:

• för- och efternamn
• en hemadress
• en e-postadress
• ett ID-kortnummer.
• lokaliseringsuppgifter
• en IP-adress (Internet Protocol)
• ett cookie-ID
• bankkonton
• skatterapporter
• biometriska uppgifter (som fingeravtryck)
• ett personnummer
• passnummer
• testresultat
• skolbetyg
• webbhistorik
• fotografi av enskilda personer
• fordones registreringsnummer etc

Mer information:

• Grunderna i dataskydd

När det gäller direkt insamling av personuppgifter från de berörda personerna ska verksamheter på ett koncist och öppet sätt tillhandahålla information om behandlingen på ett begripligt, lättillgängligt och tydligt språk. Detta kan göras skriftligen (t.ex. på baksidan av ett anbud) eller på elektronisk väg (t.ex. på en webbplats). Om den berörda personen begär det kan ni också lämna denna information muntligen, men ni måste kunna bevisa att ni gjort detta i efterhand.

Även när uppgifterna har samlats in indirekt, dvs. om ni inte själva samlar in personuppgifterna direkt från en individ, utan till exempel via en tredje part, måste ni lämna samma detaljerade information till enskilda personer.

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

• Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

En konsekvensbedömning avseende dataskydd är en skriftlig bedömning som er organisation bör göra för att utvärdera effekterna av en planerad behandling av personuppgifter. Det hjälper er att identifiera lämpliga åtgärder för att hantera riskerna och visa efterlevnad.

Även om det alltid är att föredra att förutse effekterna av planerad behandling av er organisation genom att göra en konsekvensbedömning, är det obligatoriskt att utföra en sådan om behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter.

Detta är särskilt fallet när den planerade behandlingen omfattar följande:

• behandling – i stor skala av känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål;  
• en systematisk och omfattande utvärdering av en enskilds personliga aspekter som grundar sig på  automatiserad behandling, inbegripet profilering, och på vilken beslut  grundar sig som har rättsliga följder för den enskilde eller på liknande sätt väsentligt påverkar enskilda personer.
• systematisk övervakning av ett allmänt tillgängligt område i stor skala.

Europeiska dataskyddsstyrelsen har utarbetat riktlinjer som anger de kriterier som ni behöver beakta när ni bedömer om en konsekvensbedömning avseende dataskydd är obligatorisk eller inte. Dataskyddsmyndigheterna har också offentliggjort förteckningar över behandlingar som omfattas av en konsekvensbedömning avseende dataskydd. Dessutom har flera dataskyddsmyndigheter utvecklat guider, programvara eller självbedömningsverktyg för att hjälpa till med bedömningen.

Mer information:

• Uppfylla kraven

GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.

Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som  den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
• den personuppgiftsansvariges kontaktuppgifter.
• dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
• de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.

Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:

• lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
• rätten att lämna in ett klagomål till en dataskyddsmyndighet.
• om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
• vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
• källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
• huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.

Mer information:

• Respektera enskildas rättigheter