Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är  förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:

• säkerhet ifråga om tillgång till lokaler;
• använd regelbundet uppdaterade antivirusprogram;
• omsorgsfullt val av lösenord;
• kräv att användarna  autentiserar sig innan de använder verksamhetens datorer;
• ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.

Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…

Mer information:

• Säkra personuppgifter

Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.

Mer information:

• Grunderna i dataskydd

Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter,  automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.

Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.

Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.

Mer information:

• Grunderna i dataskydd

Nej, du behöver inte vara certifierad för att bli ett dataskyddsombud.

Dataskyddsombuden måste dock kunna visa att de har de nödvändiga kvalifikationer som krävs enligt den allmänna dataskyddsförordningen, såsom expertkunskaper om dataskyddslagstiftning och dataskyddspraxis.

Mer information:

• Dataskyddsombud

Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.

Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.

Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Generellt sett bör varje organisation föra register över sina personuppgiftsbehandlingar. Detta är en inventering av all behandling och kan hjälpa er att göra korrekta bedömningar av ert ansvar enligt dataskyddsförordningen och eventuella risker.

Var och en av dessa behandlingar ska beskrivas i registret med följande uppgifter:

• syftet med behandlingen (t.ex. kundlojalitet);
• de kategorier av uppgifter som behandlas (t.ex. för löner: namn, förnamn, födelsedatum, lön osv.).
• vem som har tillgång till uppgifterna (mottagarna – t.ex. den avdelning som ansvarar för rekrytering, IT-tjänsten, ledningen, tjänsteleverantörerna, partner...).
• i tillämpliga fall, information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES).
• om möjligt, lagringsperioden (den period för vilken uppgifterna är användbara ur operativ synvinkel och ur ett arkiveringsperspektiv).
• om möjligt, en allmän beskrivning av säkerhetsåtgärder.

Registret över personuppgiftsbehandlingar faller under organisationens chefs ansvar.

Detta register måste vara tillgängligt för dataskyddsmyndigheten i det EES-land där ni är verksamma, om så begärs.

Det är inte nödvändigt att organisationer som sysselsätter färre än 250 personer nämner rent tillfällig verksamhet i sina register (t.ex. uppgifter som behandlas för enstaka evenemang såsom öppnandet av en butik).
 

Mer information:

• Uppfylla kraven

Ja, personuppgiftsbiträden (dvs. personer eller verksamheter som behandlar uppgifter på uppdrag av en personuppgiftsansvarig) har skyldigheter enligt dataskyddsförordningen. Det finns dock vissa skillnader mellan ansvaret för personuppgiftsansvariga och personuppgiftsbiträden.

Personuppgiftsbiträden måste följa de skyldigheter som anges i personuppgiftsbiträdesavtalet, som närmare beskriver behandlingen och sättet att behandla personuppgifter. Personuppgiftsbiträdet måste till exempel utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt den personuppgiftansvariges anvisningar. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Enligt dataskyddsförordningen finns det i princip två huvudsakliga sätt att överföra personuppgifter till ett land utanför EES eller till en internationell organisation. Överföringar får ske på grundval av ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, på grundval av lämpliga skyddsåtgärder, inbegripet verkställbara rättigheter och rättsmedel för enskilda.

Mer information:

• Internationella överföringar

Det första steget för att installera övervakningskameror är att identifiera syftet eller syftena med att göra det. Syftet med att installera övervakningskameror kan variera, t.ex. att säkerställa säkerheten i lokalerna, hjälpa till att förebygga och upptäcka stölder och andra brott eller skydda arbetstagarnas liv och hälsa på grund av arbetets art.

Precis som vid all behandling av personuppgifter måste registreringen av enskilda personer ha en rättslig grund enligt dataskyddsförordningen. Samtycke kan utgöra en rättslig grund för sådan databehandling. Det är dock osannolikt att detta i de flesta fall kommer att gälla för användningen av övervakningskameror, eftersom det kommer att bli svårt att få ett frivilligt samtycke från alla som sannolikt kommer att registreras. Den vanligaste rättsliga grunden för denna typ av behandling av personuppgifter är berättigat intresse. När behandlingen grundar sig på ett berättigat intresse måste ni göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.

Ni kommer att behöva informera individer om att de registreras. Detta kan göras genom att placera lättlästa skyltar på framträdande platser. Dessutom bör en skylt som anger kamerabevakningens syfte samt den personuppgiftsansvariges identitet och kontaktuppgifter placeras vid alla ingångar.

Personer vars bilder registreras av kamerabevakning bör få följande information:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om.
• kontaktuppgifter till dataskyddsombudet (om det finns ett sådant).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• säkerhetsarrangemangen för filmerna från kamerabevakningen.
• lagringstiden för filmerna från kamerabevakningen.
• förekomsten av enskildas rättigheter enligt den allmänna dataskyddsförordningen och rätten att lämna in ett klagomål till den nationella dataskyddsmyndigheten.

Mer information:

• Behandla personuppgifter på ett lagligt sätt
• Respektera enskildas rättigheter

Ja, det kan ni, men dataskyddsförordningen ställer upp vissa skyldigheter för företag som delar personuppgifter. Er organisation måste informera enskilda personer om att ni kommer att dela deras data med en tredje part. Ni måste också informera dem om era syften, säkerhet, åtkomst och de lagringsåtgärder som kommer att gälla.