Om er organisation samlar in personuppgifterna direkt från de enskilda personernar måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.

Vid indirekt insamling av personuppgifter måste ni lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad kan förkortas:

• om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
• om uppgifterna överförs till en annan mottagare ska organisationen informera de registrerade om detta senast när personuppgifterna överförs.

Mer information:

• Respektera enskildas rättigheter

Enskilda personer kan fråga er om ni behandlar deras uppgifter och  om så är  fallet har de rätt att få tillgång till dessa uppgifter. Så när detta händer och om ni behandlar deras uppgifter ska ni till exempel tillhandahålla en kopia av deras personuppgifter kostnadsfritt tillsammans med all nödvändig ytterligare information. Om en begäran görs elektroniskt bör er organisation tillhandahålla den information som krävs i ett allmänt använt elektroniskt format, såvida inte personen ifråga begär något annat.

Mer information:

• Respektera enskildas rättigheter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.

• Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
• Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.

I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.

Mer information:

• Personuppgiftsincidenter

I avtalet mellan den pesonuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet

• behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
• säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
• säkerställer säkerheten vid behandlingen,
• inte får anlita ett annat personuppgiftsbiträde utan den personuppgiftsansvariges särskilda eller allmänna skriftliga tillstånd,
• bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
• bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
• efter den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
• gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt den allmänna dataskyddsförordningen efterlevs,
• möjliggör och bidrar till revisioner, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan revisor som den personuppgiftsansvarige bemyndigat.

Dessutom ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om den anser att instruktioner strider mot den allmänna dataskyddsförordningen eller andra EU-bestämmelser eller nationella dataskyddsbestämmelser.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

GDPR eller den allmänna dataskyddsförordningen skapar en harmoniserad uppsättning regler som är tillämpliga på all behandling av personuppgifter som utförs av organisationer (offentliga eller privata, oavsett storlek) som är etablerade i Europeiska ekonomiska samarbetsområdet (EES) eller riktar sig till enskilda personer i EU. Det primära syftet med GDPR är att säkerställa att personuppgifter har samma höga skyddsnivå överallt inom EES, öka rättssäkerheten för både enskilda och organisationer som behandlar personuppgifter och erbjuda en hög skyddsnivå för enskilda personer.

Förordningen trädde i kraft den 24 maj 2016 och gäller sedan den 25 maj 2018.

Pseudonymisering består i att omvandla personuppgifter så att de inte längre kan tillskrivas en viss person utan användning av ytterligare information, förutsatt att sådan ytterligare information hålls separat och är föremål för tekniska och organisatoriska skyddsåtgärder för att säkerställa att personuppgifterna inte tillskrivs enskilda personer. I praktiken kan det innebära att personuppgifter (namn, förnamn, personnummer, telefonnummer osv.) ersätts med indirekta identifieringsuppgifter (alias, löpnummer osv.). Pseudonymiserade uppgifter är fortfarande personuppgifter och omfattas av GDPR.

Anonymiserade uppgifter är uppgifter som har anonymiserats på ett sådant sätt att den enskilde inte längre kan identifieras på något sätt som rimligen kan komma att användas. När anonymiseringen genomförs korrekt gäller GDPR inte längre de anonymiserade uppgifterna.

Mer information:

• Säkra personuppgifter

Vissa typer av personuppgifter, så kallade känsliga personuppgifter,  utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:

• en individs hälsa
• en persons sexuella läggning
• en persons ras eller etniska ursprung
• en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
• en individs biometriska och genetiska data

Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.

Mer information:

• Grunderna för dataskydd

Med personuppgifter avses all information som rör en identifierad eller identifierbar person. En identifierbar person är alla som kan identifieras, antingen direkt eller indirekt. Även olika uppgifter som genom att läggas ihop kan leda till identifiering av en viss person utgör personuppgifter.

Exempel på personuppgifter är:

• för- och efternamn
• en hemadress
• en e-postadress
• ett ID-kortnummer.
• lokaliseringsuppgifter
• en IP-adress (Internet Protocol)
• ett cookie-ID
• bankkonton
• skatterapporter
• biometriska uppgifter (som fingeravtryck)
• ett personnummer
• passnummer
• testresultat
• skolbetyg
• webbhistorik
• fotografi av enskilda personer
• fordones registreringsnummer etc

Mer information:

• Grunderna i dataskydd

När det gäller direkt insamling av personuppgifter från de berörda personerna ska verksamheter på ett koncist och öppet sätt tillhandahålla information om behandlingen på ett begripligt, lättillgängligt och tydligt språk. Detta kan göras skriftligen (t.ex. på baksidan av ett anbud) eller på elektronisk väg (t.ex. på en webbplats). Om den berörda personen begär det kan ni också lämna denna information muntligen, men ni måste kunna bevisa att ni gjort detta i efterhand.

Även när uppgifterna har samlats in indirekt, dvs. om ni inte själva samlar in personuppgifterna direkt från en individ, utan till exempel via en tredje part, måste ni lämna samma detaljerade information till enskilda personer.

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

• Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde