Med behandling av personuppgifter avses varje typ av behandling som utförs på eller med enskilda personers personuppgifter. Detta omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, undersökning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt , justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.

Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.

Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:

• inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
• inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.

Mer information:

• Dataskyddsombud

Ett giltigt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet är obligatoriskt enligt dataskyddsförordningen, GDPR. En överträdelse kan leda till en administrativ sanktionsavgift på upp till 10 miljoner euro eller upp till 2 % av ett företags totala årsomsättning, beroende på vilket belopp som är högst.

De danska och slovenska dataskyddsmyndigheterna samt Europeiska kommissionen har tagit fram mallavtal för att hjälpa er att upprätta ett avtal med ett personuppgiftsbiträde.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Dataskyddsombudets uppgifter omfattar bland annat följande:

• informera och ge råd till organisationen och dess anställda om efterlevnad av dataskyddsregleringen,
• övervaka efterlevnaden av dataskyddet,
• ge råd på begäran om konsekvensbedömning avseende dataskydd.
• att fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med den dataskyddsmyndigheten,
• att fungera som kontaktpunkt för enskilda personer.

Dessutom rekommenderas dataskyddsombudets närvaro i allmänhet när beslut som får konsekvenser för dataskyddet fattas. Dataskyddsombudet bör också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.

Mer information:

• Dataskyddsombud

Efterlevnaden av GDPR övervakas av de nationella dataskyddsmyndigheterna. Dataskyddsmyndigheterna kan genomföra tillsyner och utdöma sanktioner vid behov. Dataskyddsmyndigheterna har ett antal verktyg till sitt förfogande, inklusive admininstrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst, reprimander och tillfälliga eller permanenta förbud att behandla personuppgifter.

Ni hittar kontaktuppgifter för alla dataskyddsmyndigheter inom EES på EDPB:s webbplats: Medlemmar

Mer information:

• Dataskyddsmyndigheten & dig

Personuppgiftsansvariga kan endast behandla personuppgifter under någon av följande omständigheter:

• med de berörda personernas samtycke,
• om behandlingen är nödvändig för att fullgöra ett avtal (ett avtal mellan er organisation och  den registrerade);
• uppfylla en rättslig förpliktelse enligt EU-lagstiftning eller nationell lagstiftning,
• om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt EU-lagstiftning eller nationell lagstiftning,
• för att skydda en enskilds grundläggande intressen,
• för er organisations berättigade intressen – utom när de  registrerades rättigheter och friheter väger tyngre än dessa intressen.

Dessutom fastställer dataskyddsförordningen ytterligare villkor för behandling av känsliga personuppgifter.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

• All behandling av personuppgifter måste vara laglig, korrekt och transparent.
• Samla endast in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen av en persons uppgifter måste vara strikt begränsad till det eller de ändamål som ursprungligen fastställdes och kan därför inte behandlas för efterföljande eller andra ändamål som är oförenliga med de ursprungliga ändamålen.
• Behandla endast personuppgifter som är nödvändiga och proportionerliga mot bakgrund av det avsedda ändamålet.
• Alla personuppgifter som ni behandlar måste vara korrekta och hållas uppdaterade. Felaktiga personuppgifter måste rättas eller raderas.
• Lagringen av enskildas personuppgifter måste vara tidsbegränsad med hänsyn till det ändamål för vilket dessa uppgifter samlades in och behandlades. Enskilda personers personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga.
• Behandlingen av enskildas uppgifter måste ske på ett säkert sätt. I detta avseende måste robusta cybersäkerhetsåtgärder införas för att säkerställa att enskilda personers uppgifter skyddas på ett adekvat sätt.

Slutligen är den personuppgiftsansvarige ansvarig. Detta innebär att den är ansvarig för och måste kunna visa att principerna ovan följs.

Mer information:

• Grundläggande dataskydd

Dataskyddsförordningen, GDPR, ålägger alla organisationer som behandlar personuppgifter skyldigheter, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden.

Ni bör framför allt

• Fråga er själva om det syfte för vilket personuppgifter kan samlas in är motiverat och endast samla in personuppgifter som är nödvändiga för det eller de specifika ändamål som planeras;
• Hålla enskildas personuppgifter korrekta och uppdaterade och radera uppgifterna när de inte längre behövs,
• Respektera enskildas rättigheter genom att informera dem om hur och varför deras uppgifter behandlas och göra det möjligt för dem att utöva sina rättigheter,
• Kontrollera om ni har en lämplig rättslig grund för behandlingen av personuppgifter. Om ni har för avsikt att förlita er på samtycke från enskilda personer, be om deras samtycke innan ni behandlar deras personuppgifter;
• Se till att enskildas personuppgifter hanteras på ett säkert sätt;
• För register över era personuppgiftsbehandlingar.

Personuppgiftsbiträden måste uppfylla de skyldigheter som anges i personuppgiftsbiträdesavtalet, och de får inte behandla uppgifterna på annat sätt än enligt den personuppgiftsansvariges instruktioner.

Mer information:

• Uppfylla kraven
• Personuppgiftsansvarig eller personuppgiftsbiträde
• Grunderna i dataskydd

Cookies är små filer som lagras på en enhet, till exempel en dator, en mobil enhet eller någon annan enhet som kan lagra information. Cookies tjänar ett antal viktiga funktioner, inklusive att komma ihåg användare och deras tidigare interaktioner med en webbplats. De kan användas för att hålla reda på objekt i en online-kundvagn eller för att hålla reda på information när uppgifter infogas i ett online ansökningsformulär.

Autentiseringscookies är också viktiga för att identifiera användare när de loggar in på banktjänster och andra onlinetjänster. Informationen som lagras i cookies kan innehålla personuppgifter, till exempel en IP-adress, ett användarnamn, en unik identifierare eller en e-postadress.

Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:

• organisationen är en offentlig myndighet.
• organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
• organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.

Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.

Mer information:

• Dataskyddsombud