Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.

En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.

Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:

• den personuppgiftsansvariges identitet och kontaktuppgifter.
• ändamålen med behandlingen,
• den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som  den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
• den personuppgiftsansvariges kontaktuppgifter.
• dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
• mottagarna eller kategorierna av mottagare av uppgifterna.
• Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
• de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.

Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:

• lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
• rätten att lämna in ett klagomål till en dataskyddsmyndighet.
• om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
• vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
• källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
• huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.

Mer information:

• Respektera enskildas rättigheter

Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.

Mer information:

• Grunderna i dataskydd

Ja, era kunder måste, när de ringer ett telefonsamtal, informeras om syftet med inspelningen, mottagarna av inspelningarna, om deras rätt att göra invändningar och om deras rätt att få tillgång till inspelningarna.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ja, personuppgiftsbiträden (dvs. personer eller verksamheter som behandlar uppgifter på uppdrag av en personuppgiftsansvarig) har skyldigheter enligt dataskyddsförordningen. Det finns dock vissa skillnader mellan ansvaret för personuppgiftsansvariga och personuppgiftsbiträden.

Personuppgiftsbiträden måste följa de skyldigheter som anges i personuppgiftsbiträdesavtalet, som närmare beskriver behandlingen och sättet att behandla personuppgifter. Personuppgiftsbiträdet måste till exempel utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt den personuppgiftansvariges anvisningar. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:

• organisationen är en offentlig myndighet.
• organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
• organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.

Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.

Mer information:

• Dataskyddsombud

När det gäller direkt insamling av personuppgifter från de berörda personerna ska verksamheter på ett koncist och öppet sätt tillhandahålla information om behandlingen på ett begripligt, lättillgängligt och tydligt språk. Detta kan göras skriftligen (t.ex. på baksidan av ett anbud) eller på elektronisk väg (t.ex. på en webbplats). Om den berörda personen begär det kan ni också lämna denna information muntligen, men ni måste kunna bevisa att ni gjort detta i efterhand.

Även när uppgifterna har samlats in indirekt, dvs. om ni inte själva samlar in personuppgifterna direkt från en individ, utan till exempel via en tredje part, måste ni lämna samma detaljerade information till enskilda personer.

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

• Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Dataskyddsförordningen, GDPR, ålägger alla organisationer som behandlar personuppgifter skyldigheter, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden.

Ni bör framför allt

• Fråga er själva om det syfte för vilket personuppgifter kan samlas in är motiverat och endast samla in personuppgifter som är nödvändiga för det eller de specifika ändamål som planeras;
• Hålla enskildas personuppgifter korrekta och uppdaterade och radera uppgifterna när de inte längre behövs,
• Respektera enskildas rättigheter genom att informera dem om hur och varför deras uppgifter behandlas och göra det möjligt för dem att utöva sina rättigheter,
• Kontrollera om ni har en lämplig rättslig grund för behandlingen av personuppgifter. Om ni har för avsikt att förlita er på samtycke från enskilda personer, be om deras samtycke innan ni behandlar deras personuppgifter;
• Se till att enskildas personuppgifter hanteras på ett säkert sätt;
• För register över era personuppgiftsbehandlingar.

Personuppgiftsbiträden måste uppfylla de skyldigheter som anges i personuppgiftsbiträdesavtalet, och de får inte behandla uppgifterna på annat sätt än enligt den personuppgiftsansvariges instruktioner.

Mer information:

• Uppfylla kraven
• Personuppgiftsansvarig eller personuppgiftsbiträde
• Grunderna i dataskydd