Vanliga frågor
Ska vi utse ett dataskyddsombud?
Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:
- organisationen är en offentlig myndighet.
- organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
- organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.
Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.
Mer information:
Vad är en konsekvensbedömning avseende dataskydd och när är detta obligatoriskt?
En konsekvensbedömning avseende dataskydd är en skriftlig bedömning som er organisation bör göra för att utvärdera effekterna av en planerad behandling av personuppgifter. Det hjälper er att identifiera lämpliga åtgärder för att hantera riskerna och visa efterlevnad.
Även om det alltid är att föredra att förutse effekterna av planerad behandling av er organisation genom att göra en konsekvensbedömning, är det obligatoriskt att utföra en sådan om behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter.
Detta är särskilt fallet när den planerade behandlingen omfattar följande:
- behandling – i stor skala av känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål;
- en systematisk och omfattande utvärdering av en enskilds personliga aspekter som grundar sig på automatiserad behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för den enskilde eller på liknande sätt väsentligt påverkar enskilda personer.
- systematisk övervakning av ett allmänt tillgängligt område i stor skala.
Europeiska dataskyddsstyrelsen har utarbetat riktlinjer som anger de kriterier som ni behöver beakta när ni bedömer om en konsekvensbedömning avseende dataskydd är obligatorisk eller inte. Dataskyddsmyndigheterna har också offentliggjort förteckningar över behandlingar som omfattas av en konsekvensbedömning avseende dataskydd. Dessutom har flera dataskyddsmyndigheter utvecklat guider, programvara eller självbedömningsverktyg för att hjälpa till med bedömningen.
Mer information:
Vad kan vi göra om personuppgiftsbiträdet inte vill underteckna ett personuppgiftsbiträdesavtal?
Ett giltigt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet är obligatoriskt enligt dataskyddsförordningen, GDPR. En överträdelse kan leda till en administrativ sanktionsavgift på upp till 10 miljoner euro eller upp till 2 % av ett företags totala årsomsättning, beroende på vilket belopp som är högst.
De danska och slovenska dataskyddsmyndigheterna samt Europeiska kommissionen har tagit fram mallavtal för att hjälpa er att upprätta ett avtal med ett personuppgiftsbiträde.
Mer information:
Hur vet vi vilka säkerhetsåtgärder vi behöver vidta?
Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:
- säkerhet ifråga om tillgång till lokaler;
- använd regelbundet uppdaterade antivirusprogram;
- omsorgsfullt val av lösenord;
- kräv att användarna autentiserar sig innan de använder verksamhetens datorer;
- ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.
Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…
Mer information:
Kan vi publicera namnen på vinnarna i en tävling på vår organisations webbplats?
Att publicera namnen på vinnarna i en tävling på er webbplats kan betraktas som ett berättigat intresse, om ni kan bevisa detta genom att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.
En god praxis skulle vara att inrätta ett internt förfarande där reglerna för offentliggörande av vinnarnas personuppgifter förklaras.
Dessutom bör behandlingen av personuppgifter för dessa ändamål ingå i tävlingens integritetspolicy, så att deltagarna i förväg informeras om hur deras uppgifter kommer att behandlas.
Mer information:
Som personuppgiftsansvarig har vi samlat in enskildas personuppgifter från en tredje part, vad behöver vi göra för att uppfylla kraven?
- Se till att de uppgifter som ni fått har samlats in på ett lagenligt sätt och att de berörda personerna har informerats om behandlingen av deras personuppgifter.
- Om en tredje part behandlar personuppgifter för er räkning, se till att ni har ett personuppgiftsbiträdesavtal, som beskriver behandlingen och sättet att behandla personuppgifter.
Och naturligtvis, uppfyll alla skyldigheter som åligger personuppgiftsansvariga.
Mer information:
Vem kan fylla rollen som dataskyddsombud?
Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.
Mer information:
Vilka uppgifter har dataskyddsombudet (DSO)?
Dataskyddsombudets uppgifter omfattar bland annat följande:
- informera och ge råd till organisationen och dess anställda om efterlevnad av dataskyddsregleringen,
- övervaka efterlevnaden av dataskyddet,
- ge råd på begäran om konsekvensbedömning avseende dataskydd.
- att fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med den dataskyddsmyndigheten,
- att fungera som kontaktpunkt för enskilda personer.
Dessutom rekommenderas dataskyddsombudets närvaro i allmänhet när beslut som får konsekvenser för dataskyddet fattas. Dataskyddsombudet bör också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.
Mer information:
Är det möjligt att behandla känsliga uppgifter?
Nej, behandling av känsliga uppgifter är i allmänhet förbjuden, utom under mycket specifika omständigheter:
- Den enskilde har gett sitt uttryckliga samtycke till att deras känsliga uppgifter behandlas.
- Behandlingen av känsliga uppgifter är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter, särskilt när det gäller sysselsättning, social trygghet och socialt skydd. Den personuppgiftsansvarige kan till exempel behöva behandla en persons känsliga uppgifter för att kunna avgöra om de har rätt till vissa socialförsäkringsförmåner eller anställningsstipendier.
- Behandlingen av känsliga uppgifter är nödvändig för att skydda de grundläggande intressena hos en person där personen är fysiskt eller juridiskt oförmögen att ge sitt samtycke. Till exempel, om en person lämnas medvetslös till följd av en olycka och kräver omedelbar medicinsk vård, kan deras hälsodata behöva behandlas för att lämplig medicinsk vård ska tillhandahållas.
- Behandlingen av känsliga uppgifter sker inom ramen för berättigad verksamhet hos en stiftelse, förening eller annan ideell organisation med ett politiskt, filosofiskt, religiöst eller fackligt syfte och endast för behandling av personuppgifter om deras medlemmar, tidigare medlemmar eller personer som har regelbunden kontakt med dem.
- De känsliga uppgifterna har tydligt offentliggjorts av den registrerade
- Behandling av känsliga uppgifter är nödvändig i samband med rättsliga förfaranden.
- Behandlingen av känsliga uppgifter är nödvändig för frågor av väsentligt allmänintresse.
- Behandlingen av känsliga uppgifter är nödvändig inom ramen för förebyggande hälso- och sjukvård eller yrkesmedicin. Till exempel kan det vara nödvändigt att behandla en persons känsliga uppgifter, såsom deras medicinska uppgifter, för att fastställa deras arbetsförmåga som anställd.
- Behandlingen av känsliga uppgifter är nödvändig för folkhälsofrågor på grundval av EU-lagstiftning eller nationell lagstiftning. Till exempel kan behandling av enskildas känsliga uppgifter vara nödvändig för att säkerställa en hög kvalitet på hälso- och sjukvården och en hög kvalitet på medicinska produkter, eller för att bekämpa allvarliga hälsohot, såsom virus.
- Behandlingen av känsliga uppgifter är nödvändig för arkivändamål av allmänt intresse, för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Till exempel kan behandling av känsliga uppgifter vara nödvändig för att tillhandahålla korrekt statistik om ett lands situation inom ett visst område.
Mer information:
Hur kan vi inhämta ett giltigt samtycke?
För att samtycket ska anses giltigt måste det vara
- fritt tillhandahållet,
- specifikt,
- informerat, och
- otvetydigt.
Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.
Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).
Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.
Mer information: