GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.

Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som  den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
• den personuppgiftsansvariges kontaktuppgifter.
• dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
• de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.

Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:

• lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
• rätten att lämna in ett klagomål till en dataskyddsmyndighet.
• om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
• vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
• källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
• huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.

Mer information:

• Respektera enskildas rättigheter

Nej, behandling av känsliga uppgifter är i allmänhet förbjuden, utom under mycket specifika omständigheter:

• Den enskilde har gett sitt uttryckliga samtycke till att deras känsliga uppgifter behandlas.
• Behandlingen av känsliga uppgifter är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter, särskilt när det gäller sysselsättning, social trygghet och socialt skydd. Den personuppgiftsansvarige kan till exempel behöva behandla en persons känsliga uppgifter för att kunna avgöra om de har rätt till vissa socialförsäkringsförmåner eller anställningsstipendier.
• Behandlingen av känsliga uppgifter är nödvändig för att skydda de grundläggande intressena hos en person där personen är fysiskt eller juridiskt oförmögen att ge sitt samtycke. Till exempel, om en person lämnas medvetslös till följd av en olycka och kräver omedelbar medicinsk vård, kan deras hälsodata behöva behandlas för att lämplig medicinsk vård ska tillhandahållas.
• Behandlingen av känsliga uppgifter sker inom ramen för berättigad verksamhet hos en stiftelse, förening eller annan ideell organisation med ett politiskt, filosofiskt, religiöst eller fackligt syfte och endast för behandling av personuppgifter om deras medlemmar, tidigare medlemmar eller personer som har regelbunden kontakt med dem.
• De känsliga uppgifterna har tydligt offentliggjorts av den registrerade
• Behandling av känsliga uppgifter är nödvändig i samband med rättsliga förfaranden.
• Behandlingen av känsliga uppgifter är nödvändig för frågor av väsentligt allmänintresse.
• Behandlingen av känsliga uppgifter är nödvändig inom ramen för förebyggande hälso- och sjukvård eller yrkesmedicin. Till exempel kan det vara nödvändigt att behandla en persons känsliga uppgifter, såsom deras medicinska uppgifter, för att fastställa deras arbetsförmåga som anställd.
• Behandlingen av känsliga uppgifter är nödvändig för folkhälsofrågor på grundval av EU-lagstiftning eller nationell lagstiftning. Till exempel kan behandling av enskildas känsliga uppgifter vara nödvändig för att säkerställa en hög kvalitet på hälso- och sjukvården och en hög kvalitet på medicinska produkter, eller för att bekämpa allvarliga hälsohot, såsom virus.
• Behandlingen av känsliga uppgifter är nödvändig för arkivändamål av allmänt intresse, för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Till exempel kan behandling av känsliga uppgifter vara nödvändig för att tillhandahålla korrekt statistik om ett lands situation inom ett visst område.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

I den allmänna dataskyddsförordningen föreskrivs särskilda rättigheter för enskilda personer som måste respekteras. Ni kan göra detta genom att:

• informera personer vars uppgifter ni behandlar om er behandling och ändamålen med behandlingen när ni samlar in deras uppgifter, till exempel via en integritetspolicy på er webbplats;
• genom att svara på enskildas begäranden om att utöva sina rättigheter, såsom åtkomst, rättelse, invändning, radering eller förfrågningar om dataportabilitet.

Organisationer som är öppna med sin användning av personuppgifter och som respekterar enskildas rättigheter är mindre benägna att bli föremål för klagomål.

Mer information:

• Respektera enskildas rättigheter

Ni kan inte lagra personuppgifter för alltid.

I regel kan personuppgifter endast lagras så länge som är nödvändigt mot bakgrund av de ändamål för vilka personuppgifterna behandlas.

I vissa fall kan lagringstiden bestämmas genom särskilda lagar, till exempel om arbetslagstiftningen fastställer en viss lagringsperiod för lönelistor.

Organisationer bör införa policyer för lagring av uppgifter för att se till att personuppgifter inte lagras längre än vad som är nödvändigt. Enskildas personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga för det ändamål för vilket behandlingen har skett.

Mer information:

• Grunderna för dataskydd

Enskilda personer har rätt att begära radering av personuppgifter som rör dem och i så fall är den personuppgiftsansvarige skyldig att radera personuppgifterna. Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att tillmötesgå begäran, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Det är viktigt att notera att rätten till radering inte är absolut. Den gäller inte när uppgifterna i fråga är nödvändiga för

• utövande av rätten till yttrande- och informationsfrihet (t.ex. för journalistiska ändamål).
• fullgörande av en rättslig skyldighet som kräver behandling av personuppgifter (t.ex. register över anställdas arbetstider).
• skäl som rör ett viktigt allmänt intresse på folkhälsoområdet
• arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
• fastställande, utövande eller försvar av rättsliga anspråk.

Om de personuppgifter som ska raderas tidigare har överförts till andra organisationer måste ni informera dessa mottagare om att personen har begärt radering, såvida detta inte visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar.

Mer information:

• Respektera enskildas rättigheter

Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är  förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:

• säkerhet ifråga om tillgång till lokaler;
• använd regelbundet uppdaterade antivirusprogram;
• omsorgsfullt val av lösenord;
• kräv att användarna  autentiserar sig innan de använder verksamhetens datorer;
• ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.

Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…

Mer information:

• Säkra personuppgifter

Behandling av personuppgifter är tillåten om det finns en rättslig grund för det. Förutom fritt, specifikt, informerat och otvetydigt samtycke kan andra rättsliga grunder för behandling användas.

Med andra ord är samtycke nödvändigt när ingen av de andra rättsliga grunderna är tillämplig.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Att publicera namnen på vinnarna i en tävling på er webbplats kan betraktas som ett berättigat intresse, om ni kan bevisa detta genom att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.

En god praxis skulle vara att inrätta ett internt förfarande där reglerna för offentliggörande av vinnarnas personuppgifter förklaras.

Dessutom bör behandlingen av personuppgifter för dessa ändamål ingå i tävlingens integritetspolicy, så att deltagarna i förväg informeras om hur deras uppgifter kommer att behandlas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ja, era kunder måste, när de ringer ett telefonsamtal, informeras om syftet med inspelningen, mottagarna av inspelningarna, om deras rätt att göra invändningar och om deras rätt att få tillgång till inspelningarna.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Om er organisation samlar in personuppgifterna direkt från de enskilda personernar måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.

Vid indirekt insamling av personuppgifter måste ni lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad kan förkortas:

• om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
• om uppgifterna överförs till en annan mottagare ska organisationen informera de registrerade om detta senast när personuppgifterna överförs.

Mer information:

• Respektera enskildas rättigheter