Vanliga frågor
Vad är ett gemensamt personuppgiftsansvar?
När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.
Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.
- Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.
Mer information:
Vi organiserar ett evenemang som en del av vår affärsverksamhet, kan vi ta bilder och videor av evenemanget och de personer som deltar?
Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.
En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.
Mer information:
Hur kan vi respektera enskildas dataskyddsrättigheter?
I den allmänna dataskyddsförordningen föreskrivs särskilda rättigheter för enskilda personer som måste respekteras. Ni kan göra detta genom att:
- informera personer vars uppgifter ni behandlar om er behandling och ändamålen med behandlingen när ni samlar in deras uppgifter, till exempel via en integritetspolicy på er webbplats;
- genom att svara på enskildas begäranden om att utöva sina rättigheter, såsom åtkomst, rättelse, invändning, radering eller förfrågningar om dataportabilitet.
Organisationer som är öppna med sin användning av personuppgifter och som respekterar enskildas rättigheter är mindre benägna att bli föremål för klagomål.
Mer information:
Vad ska vi göra vid en personuppgiftsincident?
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.
- Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
- Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.
I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.
Mer information:
Vad utgör en intressekonflikt för ett dataskyddsombud?
Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.
Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:
- inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
- inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.
Mer information:
Hur länge kan vi lagra personuppgifter?
Ni kan inte lagra personuppgifter för alltid.
I regel kan personuppgifter endast lagras så länge som är nödvändigt mot bakgrund av de ändamål för vilka personuppgifterna behandlas.
I vissa fall kan lagringstiden bestämmas genom särskilda lagar, till exempel om arbetslagstiftningen fastställer en viss lagringsperiod för lönelistor.
Organisationer bör införa policyer för lagring av uppgifter för att se till att personuppgifter inte lagras längre än vad som är nödvändigt. Enskildas personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga för det ändamål för vilket behandlingen har skett.
Mer information:
Hur kan vi inhämta ett giltigt samtycke?
För att samtycket ska anses giltigt måste det vara
- fritt tillhandahållet,
- specifikt,
- informerat, och
- otvetydigt.
Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.
Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).
Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.
Mer information:
När ska ni dela denna information?
Om er organisation samlar in personuppgifterna direkt från de enskilda personernar måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.
Vid indirekt insamling av personuppgifter måste ni lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad kan förkortas:
- om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
- om uppgifterna överförs till en annan mottagare ska organisationen informera de registrerade om detta senast när personuppgifterna överförs.
Mer information:
Hur vet vi vilka säkerhetsåtgärder vi behöver vidta?
Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:
- säkerhet ifråga om tillgång till lokaler;
- använd regelbundet uppdaterade antivirusprogram;
- omsorgsfullt val av lösenord;
- kräv att användarna autentiserar sig innan de använder verksamhetens datorer;
- ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.
Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…
Mer information:
Kan vi publicera namnen på vinnarna i en tävling på vår organisations webbplats?
Att publicera namnen på vinnarna i en tävling på er webbplats kan betraktas som ett berättigat intresse, om ni kan bevisa detta genom att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.
En god praxis skulle vara att inrätta ett internt förfarande där reglerna för offentliggörande av vinnarnas personuppgifter förklaras.
Dessutom bör behandlingen av personuppgifter för dessa ändamål ingå i tävlingens integritetspolicy, så att deltagarna i förväg informeras om hur deras uppgifter kommer att behandlas.
Mer information: