GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.

Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som  den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
• den personuppgiftsansvariges kontaktuppgifter.
• dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
• de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.

Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:

• lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
• rätten att lämna in ett klagomål till en dataskyddsmyndighet.
• om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
• vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
• källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
• huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.

Mer information:

• Respektera enskildas rättigheter

Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.

Mer information:

• Dataskyddsombud

Det första steget för att installera övervakningskameror är att identifiera syftet eller syftena med att göra det. Syftet med att installera övervakningskameror kan variera, t.ex. att säkerställa säkerheten i lokalerna, hjälpa till att förebygga och upptäcka stölder och andra brott eller skydda arbetstagarnas liv och hälsa på grund av arbetets art.

Precis som vid all behandling av personuppgifter måste registreringen av enskilda personer ha en rättslig grund enligt dataskyddsförordningen. Samtycke kan utgöra en rättslig grund för sådan databehandling. Det är dock osannolikt att detta i de flesta fall kommer att gälla för användningen av övervakningskameror, eftersom det kommer att bli svårt att få ett frivilligt samtycke från alla som sannolikt kommer att registreras. Den vanligaste rättsliga grunden för denna typ av behandling av personuppgifter är berättigat intresse. När behandlingen grundar sig på ett berättigat intresse måste ni göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.

Ni kommer att behöva informera individer om att de registreras. Detta kan göras genom att placera lättlästa skyltar på framträdande platser. Dessutom bör en skylt som anger kamerabevakningens syfte samt den personuppgiftsansvariges identitet och kontaktuppgifter placeras vid alla ingångar.

Personer vars bilder registreras av kamerabevakning bör få följande information:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om.
• kontaktuppgifter till dataskyddsombudet (om det finns ett sådant).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• säkerhetsarrangemangen för filmerna från kamerabevakningen.
• lagringstiden för filmerna från kamerabevakningen.
• förekomsten av enskildas rättigheter enligt den allmänna dataskyddsförordningen och rätten att lämna in ett klagomål till den nationella dataskyddsmyndigheten.

Mer information:

• Behandla personuppgifter på ett lagligt sätt
• Respektera enskildas rättigheter

Efterlevnaden av GDPR övervakas av de nationella dataskyddsmyndigheterna. Dataskyddsmyndigheterna kan genomföra tillsyner och utdöma sanktioner vid behov. Dataskyddsmyndigheterna har ett antal verktyg till sitt förfogande, inklusive admininstrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst, reprimander och tillfälliga eller permanenta förbud att behandla personuppgifter.

Ni hittar kontaktuppgifter för alla dataskyddsmyndigheter inom EES på EDPB:s webbplats: Medlemmar

Mer information:

• Dataskyddsmyndigheten & dig

Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.

Mer information:

• Grunderna i dataskydd

Ja, personuppgiftsbiträden (dvs. personer eller verksamheter som behandlar uppgifter på uppdrag av en personuppgiftsansvarig) har skyldigheter enligt dataskyddsförordningen. Det finns dock vissa skillnader mellan ansvaret för personuppgiftsansvariga och personuppgiftsbiträden.

Personuppgiftsbiträden måste följa de skyldigheter som anges i personuppgiftsbiträdesavtalet, som närmare beskriver behandlingen och sättet att behandla personuppgifter. Personuppgiftsbiträdet måste till exempel utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt den personuppgiftansvariges anvisningar. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.

Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

• Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Vissa typer av personuppgifter, så kallade känsliga personuppgifter,  utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:

• en individs hälsa
• en persons sexuella läggning
• en persons ras eller etniska ursprung
• en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
• en individs biometriska och genetiska data

Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.

Mer information:

• Grunderna för dataskydd

Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.

En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt