När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

• Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

En konsekvensbedömning avseende dataskydd är en skriftlig bedömning som er organisation bör göra för att utvärdera effekterna av en planerad behandling av personuppgifter. Det hjälper er att identifiera lämpliga åtgärder för att hantera riskerna och visa efterlevnad.

Även om det alltid är att föredra att förutse effekterna av planerad behandling av er organisation genom att göra en konsekvensbedömning, är det obligatoriskt att utföra en sådan om behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter.

Detta är särskilt fallet när den planerade behandlingen omfattar följande:

• behandling – i stor skala av känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål;  
• en systematisk och omfattande utvärdering av en enskilds personliga aspekter som grundar sig på  automatiserad behandling, inbegripet profilering, och på vilken beslut  grundar sig som har rättsliga följder för den enskilde eller på liknande sätt väsentligt påverkar enskilda personer.
• systematisk övervakning av ett allmänt tillgängligt område i stor skala.

Europeiska dataskyddsstyrelsen har utarbetat riktlinjer som anger de kriterier som ni behöver beakta när ni bedömer om en konsekvensbedömning avseende dataskydd är obligatorisk eller inte. Dataskyddsmyndigheterna har också offentliggjort förteckningar över behandlingar som omfattas av en konsekvensbedömning avseende dataskydd. Dessutom har flera dataskyddsmyndigheter utvecklat guider, programvara eller självbedömningsverktyg för att hjälpa till med bedömningen.

Mer information:

• Uppfylla kraven

GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.

Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som  den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
• den personuppgiftsansvariges kontaktuppgifter.
• dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
• de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.

Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:

• lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
• rätten att lämna in ett klagomål till en dataskyddsmyndighet.
• om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
• vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
• källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
• huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.

Mer information:

• Respektera enskildas rättigheter

Med behandling av personuppgifter avses varje typ av behandling som utförs på eller med enskilda personers personuppgifter. Detta omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, undersökning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt , justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.

Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.

Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:

• inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
• inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.

Mer information:

• Dataskyddsombud

Ett giltigt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet är obligatoriskt enligt dataskyddsförordningen, GDPR. En överträdelse kan leda till en administrativ sanktionsavgift på upp till 10 miljoner euro eller upp till 2 % av ett företags totala årsomsättning, beroende på vilket belopp som är högst.

De danska och slovenska dataskyddsmyndigheterna samt Europeiska kommissionen har tagit fram mallavtal för att hjälpa er att upprätta ett avtal med ett personuppgiftsbiträde.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Dataskyddsombudets uppgifter omfattar bland annat följande:

• informera och ge råd till organisationen och dess anställda om efterlevnad av dataskyddsregleringen,
• övervaka efterlevnaden av dataskyddet,
• ge råd på begäran om konsekvensbedömning avseende dataskydd.
• att fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med den dataskyddsmyndigheten,
• att fungera som kontaktpunkt för enskilda personer.

Dessutom rekommenderas dataskyddsombudets närvaro i allmänhet när beslut som får konsekvenser för dataskyddet fattas. Dataskyddsombudet bör också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.

Mer information:

• Dataskyddsombud

Efterlevnaden av GDPR övervakas av de nationella dataskyddsmyndigheterna. Dataskyddsmyndigheterna kan genomföra tillsyner och utdöma sanktioner vid behov. Dataskyddsmyndigheterna har ett antal verktyg till sitt förfogande, inklusive admininstrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst, reprimander och tillfälliga eller permanenta förbud att behandla personuppgifter.

Ni hittar kontaktuppgifter för alla dataskyddsmyndigheter inom EES på EDPB:s webbplats: Medlemmar

Mer information:

• Dataskyddsmyndigheten & dig

Personuppgiftsansvariga kan endast behandla personuppgifter under någon av följande omständigheter:

• med de berörda personernas samtycke,
• om behandlingen är nödvändig för att fullgöra ett avtal (ett avtal mellan er organisation och  den registrerade);
• uppfylla en rättslig förpliktelse enligt EU-lagstiftning eller nationell lagstiftning,
• om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt EU-lagstiftning eller nationell lagstiftning,
• för att skydda en enskilds grundläggande intressen,
• för er organisations berättigade intressen – utom när de  registrerades rättigheter och friheter väger tyngre än dessa intressen.

Dessutom fastställer dataskyddsförordningen ytterligare villkor för behandling av känsliga personuppgifter.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

• All behandling av personuppgifter måste vara laglig, korrekt och transparent.
• Samla endast in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen av en persons uppgifter måste vara strikt begränsad till det eller de ändamål som ursprungligen fastställdes och kan därför inte behandlas för efterföljande eller andra ändamål som är oförenliga med de ursprungliga ändamålen.
• Behandla endast personuppgifter som är nödvändiga och proportionerliga mot bakgrund av det avsedda ändamålet.
• Alla personuppgifter som ni behandlar måste vara korrekta och hållas uppdaterade. Felaktiga personuppgifter måste rättas eller raderas.
• Lagringen av enskildas personuppgifter måste vara tidsbegränsad med hänsyn till det ändamål för vilket dessa uppgifter samlades in och behandlades. Enskilda personers personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga.
• Behandlingen av enskildas uppgifter måste ske på ett säkert sätt. I detta avseende måste robusta cybersäkerhetsåtgärder införas för att säkerställa att enskilda personers uppgifter skyddas på ett adekvat sätt.

Slutligen är den personuppgiftsansvarige ansvarig. Detta innebär att den är ansvarig för och måste kunna visa att principerna ovan följs.

Mer information:

• Grundläggande dataskydd