Vanliga frågor
Vilka uppgifter har dataskyddsombudet (DSO)?
Dataskyddsombudets uppgifter omfattar bland annat följande:
- informera och ge råd till organisationen och dess anställda om efterlevnad av dataskyddsregleringen,
- övervaka efterlevnaden av dataskyddet,
- ge råd på begäran om konsekvensbedömning avseende dataskydd.
- att fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med den dataskyddsmyndigheten,
- att fungera som kontaktpunkt för enskilda personer.
Dessutom rekommenderas dataskyddsombudets närvaro i allmänhet när beslut som får konsekvenser för dataskyddet fattas. Dataskyddsombudet bör också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.
Mer information:
Måste vår organisation följa GDPR?
Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter, automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.
Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.
Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.
Mer information:
Är vi skyldiga att offentliggöra vårt register över personuppgiftsbehandlingar?
Nej, det är inte nödvändigt att göra ert register över personuppgiftsbehandlingar offentligt. Ni måste dock kunna göra registret tillgängligt för dataskyddsmyndigheten på begäran.
Mer information:
Kan vi dela en lista över individers personuppgifter med våra affärspartners (tredje part)?
Ja, det kan ni, men dataskyddsförordningen ställer upp vissa skyldigheter för företag som delar personuppgifter. Er organisation måste informera enskilda personer om att ni kommer att dela deras data med en tredje part. Ni måste också informera dem om era syften, säkerhet, åtkomst och de lagringsåtgärder som kommer att gälla.
Vad är känsliga personuppgifter?
Vissa typer av personuppgifter, så kallade känsliga personuppgifter, utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:
- en individs hälsa
- en persons sexuella läggning
- en persons ras eller etniska ursprung
- en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
- en individs biometriska och genetiska data
Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.
Mer information:
Behöver vi inhämta samtycke för att kunna använda cookies på vår organisations webbplats?
Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.
Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.
Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.
Mer information:
Vad är cookies?
Cookies är små filer som lagras på en enhet, till exempel en dator, en mobil enhet eller någon annan enhet som kan lagra information. Cookies tjänar ett antal viktiga funktioner, inklusive att komma ihåg användare och deras tidigare interaktioner med en webbplats. De kan användas för att hålla reda på objekt i en online-kundvagn eller för att hålla reda på information när uppgifter infogas i ett online ansökningsformulär.
Autentiseringscookies är också viktiga för att identifiera användare när de loggar in på banktjänster och andra onlinetjänster. Informationen som lagras i cookies kan innehålla personuppgifter, till exempel en IP-adress, ett användarnamn, en unik identifierare eller en e-postadress.
Vilka sanktioner riskerar vi om vår organisation inte följer GDPR eller om vår behandling bryter mot GDPR?
Efterlevnaden av GDPR övervakas av de nationella dataskyddsmyndigheterna. Dataskyddsmyndigheterna kan genomföra tillsyner och utdöma sanktioner vid behov. Dataskyddsmyndigheterna har ett antal verktyg till sitt förfogande, inklusive admininstrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst, reprimander och tillfälliga eller permanenta förbud att behandla personuppgifter.
Ni hittar kontaktuppgifter för alla dataskyddsmyndigheter inom EES på EDPB:s webbplats: Medlemmar
Mer information:
Är dataskyddsombudet (DSO) ansvarigt för att följa GDPR?
Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.
Mer information:
Kan vi använda övervakningskameror i våra affärslokaler för att skydda vår egendom?
Det första steget för att installera övervakningskameror är att identifiera syftet eller syftena med att göra det. Syftet med att installera övervakningskameror kan variera, t.ex. att säkerställa säkerheten i lokalerna, hjälpa till att förebygga och upptäcka stölder och andra brott eller skydda arbetstagarnas liv och hälsa på grund av arbetets art.
Precis som vid all behandling av personuppgifter måste registreringen av enskilda personer ha en rättslig grund enligt dataskyddsförordningen. Samtycke kan utgöra en rättslig grund för sådan databehandling. Det är dock osannolikt att detta i de flesta fall kommer att gälla för användningen av övervakningskameror, eftersom det kommer att bli svårt att få ett frivilligt samtycke från alla som sannolikt kommer att registreras. Den vanligaste rättsliga grunden för denna typ av behandling av personuppgifter är berättigat intresse. När behandlingen grundar sig på ett berättigat intresse måste ni göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.
Ni kommer att behöva informera individer om att de registreras. Detta kan göras genom att placera lättlästa skyltar på framträdande platser. Dessutom bör en skylt som anger kamerabevakningens syfte samt den personuppgiftsansvariges identitet och kontaktuppgifter placeras vid alla ingångar.
Personer vars bilder registreras av kamerabevakning bör få följande information:
- den personuppgiftsansvariges identitet och kontaktuppgifter.
- ändamålen med behandlingen,
- den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om.
- kontaktuppgifter till dataskyddsombudet (om det finns ett sådant).
- mottagarna eller kategorierna av mottagare av uppgifterna.
- säkerhetsarrangemangen för filmerna från kamerabevakningen.
- lagringstiden för filmerna från kamerabevakningen.
- förekomsten av enskildas rättigheter enligt den allmänna dataskyddsförordningen och rätten att lämna in ett klagomål till den nationella dataskyddsmyndigheten.
Mer information: