Vanliga frågor

När det gäller direkt insamling av personuppgifter från de berörda personerna ska verksamheter på ett koncist och öppet sätt tillhandahålla information om behandlingen på ett begripligt, lättillgängligt och tydligt språk. Detta kan göras skriftligen (t.ex. på baksidan av ett anbud) eller på elektronisk väg (t.ex. på en webbplats). Om den berörda personen begär det kan ni också lämna denna information muntligen, men ni måste kunna bevisa att ni gjort detta i efterhand.

Även när uppgifterna har samlats in indirekt, dvs. om ni inte själva samlar in personuppgifterna direkt från en individ, utan till exempel via en tredje part, måste ni lämna samma detaljerade information till enskilda personer.

Enskilda personer har rätt att begära radering av personuppgifter som rör dem och i så fall är den personuppgiftsansvarige skyldig att radera personuppgifterna. Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att tillmötesgå begäran, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Det är viktigt att notera att rätten till radering inte är absolut. Den gäller inte när uppgifterna i fråga är nödvändiga för

• utövande av rätten till yttrande- och informationsfrihet (t.ex. för journalistiska ändamål).
• fullgörande av en rättslig skyldighet som kräver behandling av personuppgifter (t.ex. register över anställdas arbetstider).
• skäl som rör ett viktigt allmänt intresse på folkhälsoområdet
• arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
• fastställande, utövande eller försvar av rättsliga anspråk.

Om de personuppgifter som ska raderas tidigare har överförts till andra organisationer måste ni informera dessa mottagare om att personen har begärt radering, såvida detta inte visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar.

Mer information:

• Respektera enskildas rättigheter

Ja, era kunder måste, när de ringer ett telefonsamtal, informeras om syftet med inspelningen, mottagarna av inspelningarna, om deras rätt att göra invändningar och om deras rätt att få tillgång till inspelningarna.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Med behandling av personuppgifter avses varje typ av behandling som utförs på eller med enskilda personers personuppgifter. Detta omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, undersökning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt , justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.

Nej, behandling av känsliga uppgifter är i allmänhet förbjuden, utom under mycket specifika omständigheter:

• Den enskilde har gett sitt uttryckliga samtycke till att deras känsliga uppgifter behandlas.
• Behandlingen av känsliga uppgifter är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter, särskilt när det gäller sysselsättning, social trygghet och socialt skydd. Den personuppgiftsansvarige kan till exempel behöva behandla en persons känsliga uppgifter för att kunna avgöra om de har rätt till vissa socialförsäkringsförmåner eller anställningsstipendier.
• Behandlingen av känsliga uppgifter är nödvändig för att skydda de grundläggande intressena hos en person där personen är fysiskt eller juridiskt oförmögen att ge sitt samtycke. Till exempel, om en person lämnas medvetslös till följd av en olycka och kräver omedelbar medicinsk vård, kan deras hälsodata behöva behandlas för att lämplig medicinsk vård ska tillhandahållas.
• Behandlingen av känsliga uppgifter sker inom ramen för berättigad verksamhet hos en stiftelse, förening eller annan ideell organisation med ett politiskt, filosofiskt, religiöst eller fackligt syfte och endast för behandling av personuppgifter om deras medlemmar, tidigare medlemmar eller personer som har regelbunden kontakt med dem.
• De känsliga uppgifterna har tydligt offentliggjorts av den registrerade
• Behandling av känsliga uppgifter är nödvändig i samband med rättsliga förfaranden.
• Behandlingen av känsliga uppgifter är nödvändig för frågor av väsentligt allmänintresse.
• Behandlingen av känsliga uppgifter är nödvändig inom ramen för förebyggande hälso- och sjukvård eller yrkesmedicin. Till exempel kan det vara nödvändigt att behandla en persons känsliga uppgifter, såsom deras medicinska uppgifter, för att fastställa deras arbetsförmåga som anställd.
• Behandlingen av känsliga uppgifter är nödvändig för folkhälsofrågor på grundval av EU-lagstiftning eller nationell lagstiftning. Till exempel kan behandling av enskildas känsliga uppgifter vara nödvändig för att säkerställa en hög kvalitet på hälso- och sjukvården och en hög kvalitet på medicinska produkter, eller för att bekämpa allvarliga hälsohot, såsom virus.
• Behandlingen av känsliga uppgifter är nödvändig för arkivändamål av allmänt intresse, för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Till exempel kan behandling av känsliga uppgifter vara nödvändig för att tillhandahålla korrekt statistik om ett lands situation inom ett visst område.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ett giltigt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet är obligatoriskt enligt dataskyddsförordningen, GDPR. En överträdelse kan leda till en administrativ sanktionsavgift på upp till 10 miljoner euro eller upp till 2 % av ett företags totala årsomsättning, beroende på vilket belopp som är högst.

De danska och slovenska dataskyddsmyndigheterna samt Europeiska kommissionen har tagit fram mallavtal för att hjälpa er att upprätta ett avtal med ett personuppgiftsbiträde.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Enskilda personer kan fråga er om ni behandlar deras uppgifter och  om så är  fallet har de rätt att få tillgång till dessa uppgifter. Så när detta händer och om ni behandlar deras uppgifter ska ni till exempel tillhandahålla en kopia av deras personuppgifter kostnadsfritt tillsammans med all nödvändig ytterligare information. Om en begäran görs elektroniskt bör er organisation tillhandahålla den information som krävs i ett allmänt använt elektroniskt format, såvida inte personen ifråga begär något annat.

Mer information:

• Respektera enskildas rättigheter

Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att svara, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Ni måste göra detta kostnadsfritt.

Mer information:

• Respektera enskildas rättigheter

Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.

Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.

Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Pseudonymisering består i att omvandla personuppgifter så att de inte längre kan tillskrivas en viss person utan användning av ytterligare information, förutsatt att sådan ytterligare information hålls separat och är föremål för tekniska och organisatoriska skyddsåtgärder för att säkerställa att personuppgifterna inte tillskrivs enskilda personer. I praktiken kan det innebära att personuppgifter (namn, förnamn, personnummer, telefonnummer osv.) ersätts med indirekta identifieringsuppgifter (alias, löpnummer osv.). Pseudonymiserade uppgifter är fortfarande personuppgifter och omfattas av GDPR.

Anonymiserade uppgifter är uppgifter som har anonymiserats på ett sådant sätt att den enskilde inte längre kan identifieras på något sätt som rimligen kan komma att användas. När anonymiseringen genomförs korrekt gäller GDPR inte längre de anonymiserade uppgifterna.

Mer information:

• Säkra personuppgifter

Dataskyddsförordningen skiljer mellan två huvudroller: personuppgiftsansvariga och personuppgiftsbiträde. Denna åtskillnad är avgörande eftersom den personuppgiftsansvarige har ett större ansvar och måste fullgöra fler skyldigheter än personuppgiftsbiträdet.

Personuppgiftsansvariga och personuppgiftsbiträden kan vara fysiska eller juridiska personer, till exempel ett litet eller medelstort företag, en offentlig myndighet, en organisation, ett statligt organ, en sammanslutning osv.

En personuppgiftsansvarig bestämmer ändamålen och medlen för en behandling. Med andra ord bestämmer den personuppgiftsansvarige hur och varför en behandling sker. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning. Behandling som utförs av personuppgiftsbiträden måste regleras genom ett avtal med den personuppgiftsansvarige eller genom annan rättsakt.

Exempel på personuppgiftsansvariga:

• företag som behandlar sina kunders personuppgifter för att slutföra en försäljning;
• finansinstitut som behandlar sina kunders personuppgifter.
• sammanslutningar som behandlar sina medlemmars personuppgifter.
• skolor eller universitet som behandlar personuppgifter om studenter och lärare.
• sjukhus som behandlar sina patienters personuppgifter.
• myndigheter som behandlar medborgarnas personuppgifter.

Exempel på personuppgiftsbiträden:

• ett litet eller medelstort företag anlitar en bokföringstjänst för att föra sina räkenskaper och register, SME-företaget är personuppgiftsansvarig och bokföringstjänsten är personuppgiftsbiträde.
• ett löneföretag behandlar personuppgifter för ett SME-företag. Löneföretaget kommer att fungera som personuppgiftsbiträde om det enbart behandlar personuppgifterna för SME-företagets räkning. SME-företaget bestämmer ändamålen och medlen för databehandlingen och är därför personuppgiftsansvarigt.
• ett SME-företag ger ett marknadsföringsföretag i uppdrag att samla in e-postadresser via tredje parts webbplatser.  Marknadsföringsföretaget gör detta enligt de uttryckliga instruktionerna från SME-företaget och uteslutande för SME-företagets syften. Marknadsföringsföretaget fungerar som personuppgiftsbiträde för denna behandling av personuppgifter.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Vissa typer av personuppgifter, så kallade känsliga personuppgifter,  utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:

• en individs hälsa
• en persons sexuella läggning
• en persons ras eller etniska ursprung
• en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
• en individs biometriska och genetiska data

Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.

Mer information:

• Grunderna för dataskydd

Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.

Mer information:

• Dataskyddsombud

Med personuppgifter avses all information som rör en identifierad eller identifierbar person. En identifierbar person är alla som kan identifieras, antingen direkt eller indirekt. Även olika uppgifter som genom att läggas ihop kan leda till identifiering av en viss person utgör personuppgifter.

Exempel på personuppgifter är:

• för- och efternamn
• en hemadress
• en e-postadress
• ett ID-kortnummer.
• lokaliseringsuppgifter
• en IP-adress (Internet Protocol)
• ett cookie-ID
• bankkonton
• skatterapporter
• biometriska uppgifter (som fingeravtryck)
• ett personnummer
• passnummer
• testresultat
• skolbetyg
• webbhistorik
• fotografi av enskilda personer
• fordones registreringsnummer etc

Mer information:

• Grunderna i dataskydd

1. Se till att de uppgifter som ni fått har samlats in på ett lagenligt sätt och att de berörda personerna har informerats om behandlingen av deras personuppgifter.
2. Om en tredje part behandlar personuppgifter för er räkning, se till att ni har ett personuppgiftsbiträdesavtal, som beskriver behandlingen och sättet att behandla personuppgifter.

Och naturligtvis, uppfyll alla skyldigheter som åligger personuppgiftsansvariga.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är  förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:

• säkerhet ifråga om tillgång till lokaler;
• använd regelbundet uppdaterade antivirusprogram;
• omsorgsfullt val av lösenord;
• kräv att användarna  autentiserar sig innan de använder verksamhetens datorer;
• ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.

Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…

Mer information:

• Säkra personuppgifter

Att publicera namnen på vinnarna i en tävling på er webbplats kan betraktas som ett berättigat intresse, om ni kan bevisa detta genom att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.

En god praxis skulle vara att inrätta ett internt förfarande där reglerna för offentliggörande av vinnarnas personuppgifter förklaras.

Dessutom bör behandlingen av personuppgifter för dessa ändamål ingå i tävlingens integritetspolicy, så att deltagarna i förväg informeras om hur deras uppgifter kommer att behandlas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ja, det kan ni, men dataskyddsförordningen ställer upp vissa skyldigheter för företag som delar personuppgifter. Er organisation måste informera enskilda personer om att ni kommer att dela deras data med en tredje part. Ni måste också informera dem om era syften, säkerhet, åtkomst och de lagringsåtgärder som kommer att gälla.

Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:

• organisationen är en offentlig myndighet.
• organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
• organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.

Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.

Mer information:

• Dataskyddsombud

Nej, det är inte nödvändigt att göra ert register över personuppgiftsbehandlingar offentligt. Ni måste dock kunna göra registret tillgängligt för dataskyddsmyndigheten på begäran.

Mer information:

• Uppfyll kraven