Vanliga frågor
Kan vi överföra personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES)?
Enligt dataskyddsförordningen finns det i princip två huvudsakliga sätt att överföra personuppgifter till ett land utanför EES eller till en internationell organisation. Överföringar får ske på grundval av ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, på grundval av lämpliga skyddsåtgärder, inbegripet verkställbara rättigheter och rättsmedel för enskilda.
Mer information:
Gäller GDPR även pappersdokumentation?
Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.
Mer information:
Vilka sanktioner riskerar vi om vår organisation inte följer GDPR eller om vår behandling bryter mot GDPR?
Efterlevnaden av GDPR övervakas av de nationella dataskyddsmyndigheterna. Dataskyddsmyndigheterna kan genomföra tillsyner och utdöma sanktioner vid behov. Dataskyddsmyndigheterna har ett antal verktyg till sitt förfogande, inklusive admininstrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst, reprimander och tillfälliga eller permanenta förbud att behandla personuppgifter.
Ni hittar kontaktuppgifter för alla dataskyddsmyndigheter inom EES på EDPB:s webbplats: Medlemmar
Mer information:
Är dataskyddsombudet (DSO) ansvarigt för att följa GDPR?
Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.
Mer information:
Måste även personuppgiftsbiträden respektera GDPR?
Ja, personuppgiftsbiträden (dvs. personer eller verksamheter som behandlar uppgifter på uppdrag av en personuppgiftsansvarig) har skyldigheter enligt dataskyddsförordningen. Det finns dock vissa skillnader mellan ansvaret för personuppgiftsansvariga och personuppgiftsbiträden.
Personuppgiftsbiträden måste följa de skyldigheter som anges i personuppgiftsbiträdesavtalet, som närmare beskriver behandlingen och sättet att behandla personuppgifter. Personuppgiftsbiträdet måste till exempel utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt den personuppgiftansvariges anvisningar. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.
Mer information:
Måste jag vara certifierad för att bli ett dataskyddsombud (DSO)?
Nej, du behöver inte vara certifierad för att bli ett dataskyddsombud.
Dataskyddsombuden måste dock kunna visa att de har de nödvändiga kvalifikationer som krävs enligt den allmänna dataskyddsförordningen, såsom expertkunskaper om dataskyddslagstiftning och dataskyddspraxis.
Mer information:
Måste vår organisation följa GDPR?
Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter, automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.
Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.
Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.
Mer information:
Om vi vill lagra meritförteckningar för kandidater för framtida rekryteringsförfaranden, måste vi be om de sökandes samtycke?
Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.
Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.
Mer information:
Vad är cookies?
Cookies är små filer som lagras på en enhet, till exempel en dator, en mobil enhet eller någon annan enhet som kan lagra information. Cookies tjänar ett antal viktiga funktioner, inklusive att komma ihåg användare och deras tidigare interaktioner med en webbplats. De kan användas för att hålla reda på objekt i en online-kundvagn eller för att hålla reda på information när uppgifter infogas i ett online ansökningsformulär.
Autentiseringscookies är också viktiga för att identifiera användare när de loggar in på banktjänster och andra onlinetjänster. Informationen som lagras i cookies kan innehålla personuppgifter, till exempel en IP-adress, ett användarnamn, en unik identifierare eller en e-postadress.
Vad bör ingå i ett avtal mellan personuppgiftsansvarig och personuppgiftsbiträde?
I avtalet mellan den pesonuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet
- behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
- säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
- säkerställer säkerheten vid behandlingen,
- inte får anlita ett annat personuppgiftsbiträde utan den personuppgiftsansvariges särskilda eller allmänna skriftliga tillstånd,
- bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
- bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
- efter den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
- gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt den allmänna dataskyddsförordningen efterlevs,
- möjliggör och bidrar till revisioner, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan revisor som den personuppgiftsansvarige bemyndigat.
Dessutom ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om den anser att instruktioner strider mot den allmänna dataskyddsförordningen eller andra EU-bestämmelser eller nationella dataskyddsbestämmelser.
Mer information: