Vanliga frågor
Hur länge kan vi lagra personuppgifter?
Ni kan inte lagra personuppgifter för alltid.
I regel kan personuppgifter endast lagras så länge som är nödvändigt mot bakgrund av de ändamål för vilka personuppgifterna behandlas.
I vissa fall kan lagringstiden bestämmas genom särskilda lagar, till exempel om arbetslagstiftningen fastställer en viss lagringsperiod för lönelistor.
Organisationer bör införa policyer för lagring av uppgifter för att se till att personuppgifter inte lagras längre än vad som är nödvändigt. Enskildas personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga för det ändamål för vilket behandlingen har skett.
Mer information:
Hur snabbt måste vi svara på en begäran om åtkomst?
Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att svara, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.
Ni måste göra detta kostnadsfritt.
Mer information:
Hur svarar vi på en begäran om radering?
Enskilda personer har rätt att begära radering av personuppgifter som rör dem och i så fall är den personuppgiftsansvarige skyldig att radera personuppgifterna. Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att tillmötesgå begäran, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.
Det är viktigt att notera att rätten till radering inte är absolut. Den gäller inte när uppgifterna i fråga är nödvändiga för
- utövande av rätten till yttrande- och informationsfrihet (t.ex. för journalistiska ändamål).
- fullgörande av en rättslig skyldighet som kräver behandling av personuppgifter (t.ex. register över anställdas arbetstider).
- skäl som rör ett viktigt allmänt intresse på folkhälsoområdet
- arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
- fastställande, utövande eller försvar av rättsliga anspråk.
Om de personuppgifter som ska raderas tidigare har överförts till andra organisationer måste ni informera dessa mottagare om att personen har begärt radering, såvida detta inte visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar.
Mer information:
Kan vi endast behandla personuppgifter när vi har den enskildes samtycke?
Behandling av personuppgifter är tillåten om det finns en rättslig grund för det. Förutom fritt, specifikt, informerat och otvetydigt samtycke kan andra rättsliga grunder för behandling användas.
Med andra ord är samtycke nödvändigt när ingen av de andra rättsliga grunderna är tillämplig.
Mer information:
Måste vår organisation följa GDPR?
Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter, automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.
Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.
Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.
Mer information:
Om vi vill lagra meritförteckningar för kandidater för framtida rekryteringsförfaranden, måste vi be om de sökandes samtycke?
Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.
Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.
Mer information:
Vad ska vi göra när någon frågar hur vi behandlar deras uppgifter?
Enskilda personer kan fråga er om ni behandlar deras uppgifter och om så är fallet har de rätt att få tillgång till dessa uppgifter. Så när detta händer och om ni behandlar deras uppgifter ska ni till exempel tillhandahålla en kopia av deras personuppgifter kostnadsfritt tillsammans med all nödvändig ytterligare information. Om en begäran görs elektroniskt bör er organisation tillhandahålla den information som krävs i ett allmänt använt elektroniskt format, såvida inte personen ifråga begär något annat.
Mer information:
Vad ska vi göra vid en personuppgiftsincident?
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.
- Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
- Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.
I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.
Mer information:
Vad utgör en intressekonflikt för ett dataskyddsombud?
Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.
Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:
- inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
- inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.
Mer information:
Vem kan fylla rollen som dataskyddsombud?
Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.
Mer information: