Vanliga frågor
Behöver vi ett register över våra personuppgiftsbehandlingar?
Generellt sett bör varje organisation föra register över sina personuppgiftsbehandlingar. Detta är en inventering av all behandling och kan hjälpa er att göra korrekta bedömningar av ert ansvar enligt dataskyddsförordningen och eventuella risker.
Var och en av dessa behandlingar ska beskrivas i registret med följande uppgifter:
- syftet med behandlingen (t.ex. kundlojalitet);
- de kategorier av uppgifter som behandlas (t.ex. för löner: namn, förnamn, födelsedatum, lön osv.).
- vem som har tillgång till uppgifterna (mottagarna – t.ex. den avdelning som ansvarar för rekrytering, IT-tjänsten, ledningen, tjänsteleverantörerna, partner...).
- i tillämpliga fall, information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES).
- om möjligt, lagringsperioden (den period för vilken uppgifterna är användbara ur operativ synvinkel och ur ett arkiveringsperspektiv).
- om möjligt, en allmän beskrivning av säkerhetsåtgärder.
Registret över personuppgiftsbehandlingar faller under organisationens chefs ansvar.
Detta register måste vara tillgängligt för dataskyddsmyndigheten i det EES-land där ni är verksamma, om så begärs.
Det är inte nödvändigt att organisationer som sysselsätter färre än 250 personer nämner rent tillfällig verksamhet i sina register (t.ex. uppgifter som behandlas för enstaka evenemang såsom öppnandet av en butik).
Mer information:
Behöver vi inhämta samtycke för att kunna använda cookies på vår organisations webbplats?
Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.
Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.
Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.
Mer information:
Hur kan vi inhämta ett giltigt samtycke?
För att samtycket ska anses giltigt måste det vara
- fritt tillhandahållet,
- specifikt,
- informerat, och
- otvetydigt.
Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.
Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).
Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.
Mer information:
Kan vi använda övervakningskameror i våra affärslokaler för att skydda vår egendom?
Det första steget för att installera övervakningskameror är att identifiera syftet eller syftena med att göra det. Syftet med att installera övervakningskameror kan variera, t.ex. att säkerställa säkerheten i lokalerna, hjälpa till att förebygga och upptäcka stölder och andra brott eller skydda arbetstagarnas liv och hälsa på grund av arbetets art.
Precis som vid all behandling av personuppgifter måste registreringen av enskilda personer ha en rättslig grund enligt dataskyddsförordningen. Samtycke kan utgöra en rättslig grund för sådan databehandling. Det är dock osannolikt att detta i de flesta fall kommer att gälla för användningen av övervakningskameror, eftersom det kommer att bli svårt att få ett frivilligt samtycke från alla som sannolikt kommer att registreras. Den vanligaste rättsliga grunden för denna typ av behandling av personuppgifter är berättigat intresse. När behandlingen grundar sig på ett berättigat intresse måste ni göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.
Ni kommer att behöva informera individer om att de registreras. Detta kan göras genom att placera lättlästa skyltar på framträdande platser. Dessutom bör en skylt som anger kamerabevakningens syfte samt den personuppgiftsansvariges identitet och kontaktuppgifter placeras vid alla ingångar.
Personer vars bilder registreras av kamerabevakning bör få följande information:
- den personuppgiftsansvariges identitet och kontaktuppgifter.
- ändamålen med behandlingen,
- den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om.
- kontaktuppgifter till dataskyddsombudet (om det finns ett sådant).
- mottagarna eller kategorierna av mottagare av uppgifterna.
- säkerhetsarrangemangen för filmerna från kamerabevakningen.
- lagringstiden för filmerna från kamerabevakningen.
- förekomsten av enskildas rättigheter enligt den allmänna dataskyddsförordningen och rätten att lämna in ett klagomål till den nationella dataskyddsmyndigheten.
Mer information:
Om vi vill lagra meritförteckningar för kandidater för framtida rekryteringsförfaranden, måste vi be om de sökandes samtycke?
Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.
Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.
Mer information:
Vem kan fylla rollen som dataskyddsombud?
Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.
Mer information:
Är dataskyddsombudet (DSO) ansvarigt för att följa GDPR?
Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.
Mer information:
Gäller GDPR även pappersdokumentation?
Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.
Mer information:
Hur snabbt måste vi svara på en begäran om åtkomst?
Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att svara, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.
Ni måste göra detta kostnadsfritt.
Mer information:
Kan vi överföra personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES)?
Enligt dataskyddsförordningen finns det i princip två huvudsakliga sätt att överföra personuppgifter till ett land utanför EES eller till en internationell organisation. Överföringar får ske på grundval av ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, på grundval av lämpliga skyddsåtgärder, inbegripet verkställbara rättigheter och rättsmedel för enskilda.
Mer information: