Enskilda personer har rätt att begära radering av personuppgifter som rör dem och i så fall är den personuppgiftsansvarige skyldig att radera personuppgifterna. Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att tillmötesgå begäran, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Det är viktigt att notera att rätten till radering inte är absolut. Den gäller inte när uppgifterna i fråga är nödvändiga för

• utövande av rätten till yttrande- och informationsfrihet (t.ex. för journalistiska ändamål).
• fullgörande av en rättslig skyldighet som kräver behandling av personuppgifter (t.ex. register över anställdas arbetstider).
• skäl som rör ett viktigt allmänt intresse på folkhälsoområdet
• arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
• fastställande, utövande eller försvar av rättsliga anspråk.

Om de personuppgifter som ska raderas tidigare har överförts till andra organisationer måste ni informera dessa mottagare om att personen har begärt radering, såvida detta inte visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar.

Mer information:

• Respektera enskildas rättigheter

Behandling av personuppgifter är tillåten om det finns en rättslig grund för det. Förutom fritt, specifikt, informerat och otvetydigt samtycke kan andra rättsliga grunder för behandling användas.

Med andra ord är samtycke nödvändigt när ingen av de andra rättsliga grunderna är tillämplig.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.

Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Cookies är små filer som lagras på en enhet, till exempel en dator, en mobil enhet eller någon annan enhet som kan lagra information. Cookies tjänar ett antal viktiga funktioner, inklusive att komma ihåg användare och deras tidigare interaktioner med en webbplats. De kan användas för att hålla reda på objekt i en online-kundvagn eller för att hålla reda på information när uppgifter infogas i ett online ansökningsformulär.

Autentiseringscookies är också viktiga för att identifiera användare när de loggar in på banktjänster och andra onlinetjänster. Informationen som lagras i cookies kan innehålla personuppgifter, till exempel en IP-adress, ett användarnamn, en unik identifierare eller en e-postadress.

Ett giltigt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet är obligatoriskt enligt dataskyddsförordningen, GDPR. En överträdelse kan leda till en administrativ sanktionsavgift på upp till 10 miljoner euro eller upp till 2 % av ett företags totala årsomsättning, beroende på vilket belopp som är högst.

De danska och slovenska dataskyddsmyndigheterna samt Europeiska kommissionen har tagit fram mallavtal för att hjälpa er att upprätta ett avtal med ett personuppgiftsbiträde.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Enskilda personer kan fråga er om ni behandlar deras uppgifter och  om så är  fallet har de rätt att få tillgång till dessa uppgifter. Så när detta händer och om ni behandlar deras uppgifter ska ni till exempel tillhandahålla en kopia av deras personuppgifter kostnadsfritt tillsammans med all nödvändig ytterligare information. Om en begäran görs elektroniskt bör er organisation tillhandahålla den information som krävs i ett allmänt använt elektroniskt format, såvida inte personen ifråga begär något annat.

Mer information:

• Respektera enskildas rättigheter

Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.

Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:

• inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
• inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.

Mer information:

• Dataskyddsombud

Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.

Mer information:

• Dataskyddsombud

Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.

En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.

Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som  den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
• den personuppgiftsansvariges kontaktuppgifter.
• dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
• de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.

Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:

• lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
• rätten att lämna in ett klagomål till en dataskyddsmyndighet.
• om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
• vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
• källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
• huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.

Mer information:

• Respektera enskildas rättigheter