Data protection guide for small business logo
Close menu
Back to EDPB

Vanliga frågor

Filter on
Filter on topic

Hur kan vi inhämta ett giltigt samtycke?

För att samtycket ska anses giltigt måste det vara

  • fritt tillhandahållet,
  • specifikt,
  • informerat, och
  • otvetydigt.

Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.

Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).

Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.

Mer information:

När ska ni dela denna information?

Om er organisation samlar in personuppgifterna direkt från de enskilda personernar måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.

Vid indirekt insamling av personuppgifter måste ni lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad kan förkortas:

  • om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
  • om uppgifterna överförs till en annan mottagare ska organisationen informera de registrerade om detta senast när personuppgifterna överförs.

Mer information:

Måste vår organisation följa GDPR?

Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter,  automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.

Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.

Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.

Mer information:

Vilka uppgifter har dataskyddsombudet (DSO)?

Dataskyddsombudets uppgifter omfattar bland annat följande:

  • informera och ge råd till organisationen och dess anställda om efterlevnad av dataskyddsregleringen,
  • övervaka efterlevnaden av dataskyddet,
  • ge råd på begäran om konsekvensbedömning avseende dataskydd.
  • att fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med den dataskyddsmyndigheten,
  • att fungera som kontaktpunkt för enskilda personer.

Dessutom rekommenderas dataskyddsombudets närvaro i allmänhet när beslut som får konsekvenser för dataskyddet fattas. Dataskyddsombudet bör också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.

Mer information:

Vad är vårt ansvar enligt GDPR?

Dataskyddsförordningen, GDPR, ålägger alla organisationer som behandlar personuppgifter skyldigheter, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden.

Ni bör framför allt

  • Fråga er själva om det syfte för vilket personuppgifter kan samlas in är motiverat och endast samla in personuppgifter som är nödvändiga för det eller de specifika ändamål som planeras;
  • Hålla enskildas personuppgifter korrekta och uppdaterade och radera uppgifterna när de inte längre behövs,
  • Respektera enskildas rättigheter genom att informera dem om hur och varför deras uppgifter behandlas och göra det möjligt för dem att utöva sina rättigheter,
  • Kontrollera om ni har en lämplig rättslig grund för behandlingen av personuppgifter. Om ni har för avsikt att förlita er på samtycke från enskilda personer, be om deras samtycke innan ni behandlar deras personuppgifter;
  • Se till att enskildas personuppgifter hanteras på ett säkert sätt;
  • För register över era personuppgiftsbehandlingar.

Personuppgiftsbiträden måste uppfylla de skyldigheter som anges i personuppgiftsbiträdesavtalet, och de får inte behandla uppgifterna på annat sätt än enligt den personuppgiftsansvariges instruktioner.

Mer information:

Vilka är de grundläggande principerna för behandling av personuppgifter enligt GDPR?

  • All behandling av personuppgifter måste vara laglig, korrekt och transparent.
  • Samla endast in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen av en persons uppgifter måste vara strikt begränsad till det eller de ändamål som ursprungligen fastställdes och kan därför inte behandlas för efterföljande eller andra ändamål som är oförenliga med de ursprungliga ändamålen.
  • Behandla endast personuppgifter som är nödvändiga och proportionerliga mot bakgrund av det avsedda ändamålet.
  • Alla personuppgifter som ni behandlar måste vara korrekta och hållas uppdaterade. Felaktiga personuppgifter måste rättas eller raderas.
  • Lagringen av enskildas personuppgifter måste vara tidsbegränsad med hänsyn till det ändamål för vilket dessa uppgifter samlades in och behandlades. Enskilda personers personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga.
  • Behandlingen av enskildas uppgifter måste ske på ett säkert sätt. I detta avseende måste robusta cybersäkerhetsåtgärder införas för att säkerställa att enskilda personers uppgifter skyddas på ett adekvat sätt.

Slutligen är den personuppgiftsansvarige ansvarig. Detta innebär att den är ansvarig för och måste kunna visa att principerna ovan följs.

Mer information:

Hur länge kan vi lagra personuppgifter?

Ni kan inte lagra personuppgifter för alltid.

I regel kan personuppgifter endast lagras så länge som är nödvändigt mot bakgrund av de ändamål för vilka personuppgifterna behandlas.

I vissa fall kan lagringstiden bestämmas genom särskilda lagar, till exempel om arbetslagstiftningen fastställer en viss lagringsperiod för lönelistor.

Organisationer bör införa policyer för lagring av uppgifter för att se till att personuppgifter inte lagras längre än vad som är nödvändigt. Enskildas personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga för det ändamål för vilket behandlingen har skett.

Mer information:

Behöver vi ett register över våra personuppgiftsbehandlingar?

Generellt sett bör varje organisation föra register över sina personuppgiftsbehandlingar. Detta är en inventering av all behandling och kan hjälpa er att göra korrekta bedömningar av ert ansvar enligt dataskyddsförordningen och eventuella risker.

Var och en av dessa behandlingar ska beskrivas i registret med följande uppgifter:

  • syftet med behandlingen (t.ex. kundlojalitet);
  • de kategorier av uppgifter som behandlas (t.ex. för löner: namn, förnamn, födelsedatum, lön osv.).
  • vem som har tillgång till uppgifterna (mottagarna – t.ex. den avdelning som ansvarar för rekrytering, IT-tjänsten, ledningen, tjänsteleverantörerna, partner...).
  • i tillämpliga fall, information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES).
  • om möjligt, lagringsperioden (den period för vilken uppgifterna är användbara ur operativ synvinkel och ur ett arkiveringsperspektiv).
  • om möjligt, en allmän beskrivning av säkerhetsåtgärder.

Registret över personuppgiftsbehandlingar faller under organisationens chefs ansvar.

Detta register måste vara tillgängligt för dataskyddsmyndigheten i det EES-land där ni är verksamma, om så begärs.

Det är inte nödvändigt att organisationer som sysselsätter färre än 250 personer nämner rent tillfällig verksamhet i sina register (t.ex. uppgifter som behandlas för enstaka evenemang såsom öppnandet av en butik).
 

Mer information:

Vad utgör en intressekonflikt för ett dataskyddsombud?

Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.

Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:

  • inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
  • inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.

Mer information:

Vad ska vi göra vid en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.

  • Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
  • Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.

I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.

Mer information:

Hur kan vi respektera enskildas dataskyddsrättigheter?

I den allmänna dataskyddsförordningen föreskrivs särskilda rättigheter för enskilda personer som måste respekteras. Ni kan göra detta genom att:

  • informera personer vars uppgifter ni behandlar om er behandling och ändamålen med behandlingen när ni samlar in deras uppgifter, till exempel via en integritetspolicy på er webbplats;
  • genom att svara på enskildas begäranden om att utöva sina rättigheter, såsom åtkomst, rättelse, invändning, radering eller förfrågningar om dataportabilitet.

Organisationer som är öppna med sin användning av personuppgifter och som respekterar enskildas rättigheter är mindre benägna att bli föremål för klagomål.

Mer information:

Hur kan vi hålla oss uppdaterade om EDPB:s arbete?

EDPB publicerar regelbundet pressmeddelanden, nyhetsartiklar, bloggar och annat innehåll på sin webbplats och sina kanaler för sociala medier (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) för att hålla dataskyddsintresserade och allmänheten uppdaterad om sitt arbete.

EDPB:s webbplats har också två RSS-flöden som ni kan prenumerera på för automatiska uppdateringar av EDPB:s nyheter och EDPB:s senaste publikationer.

Vad är GDPR?

GDPR eller den allmänna dataskyddsförordningen skapar en harmoniserad uppsättning regler som är tillämpliga på all behandling av personuppgifter som utförs av organisationer (offentliga eller privata, oavsett storlek) som är etablerade i Europeiska ekonomiska samarbetsområdet (EES) eller riktar sig till enskilda personer i EU. Det primära syftet med GDPR är att säkerställa att personuppgifter har samma höga skyddsnivå överallt inom EES, öka rättssäkerheten för både enskilda och organisationer som behandlar personuppgifter och erbjuda en hög skyddsnivå för enskilda personer.

Förordningen trädde i kraft den 24 maj 2016 och gäller sedan den 25 maj 2018.

Gäller GDPR även pappersdokumentation?

Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.

Mer information:

Vad är ett gemensamt personuppgiftsansvar?

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

  • Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

Vi organiserar ett evenemang som en del av vår affärsverksamhet, kan vi ta bilder och videor av evenemanget och de personer som deltar?

Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.

En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.

Mer information:

Om vi vill lagra meritförteckningar för kandidater för framtida rekryteringsförfaranden, måste vi be om de sökandes samtycke?

Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.

Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.

Mer information:

Kan vi endast behandla personuppgifter när vi har den enskildes samtycke?

Behandling av personuppgifter är tillåten om det finns en rättslig grund för det. Förutom fritt, specifikt, informerat och otvetydigt samtycke kan andra rättsliga grunder för behandling användas.

Med andra ord är samtycke nödvändigt när ingen av de andra rättsliga grunderna är tillämplig.

Mer information:

Måste jag vara certifierad för att bli ett dataskyddsombud (DSO)?

Nej, du behöver inte vara certifierad för att bli ett dataskyddsombud.

Dataskyddsombuden måste dock kunna visa att de har de nödvändiga kvalifikationer som krävs enligt den allmänna dataskyddsförordningen, såsom expertkunskaper om dataskyddslagstiftning och dataskyddspraxis.

Mer information:

Vad är en konsekvensbedömning avseende dataskydd och när är detta obligatoriskt?

En konsekvensbedömning avseende dataskydd är en skriftlig bedömning som er organisation bör göra för att utvärdera effekterna av en planerad behandling av personuppgifter. Det hjälper er att identifiera lämpliga åtgärder för att hantera riskerna och visa efterlevnad.

Även om det alltid är att föredra att förutse effekterna av planerad behandling av er organisation genom att göra en konsekvensbedömning, är det obligatoriskt att utföra en sådan om behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter.

Detta är särskilt fallet när den planerade behandlingen omfattar följande:

  • behandling – i stor skala av känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål;  
  • en systematisk och omfattande utvärdering av en enskilds personliga aspekter som grundar sig på  automatiserad behandling, inbegripet profilering, och på vilken beslut  grundar sig som har rättsliga följder för den enskilde eller på liknande sätt väsentligt påverkar enskilda personer.
  • systematisk övervakning av ett allmänt tillgängligt område i stor skala.

Europeiska dataskyddsstyrelsen har utarbetat riktlinjer som anger de kriterier som ni behöver beakta när ni bedömer om en konsekvensbedömning avseende dataskydd är obligatorisk eller inte. Dataskyddsmyndigheterna har också offentliggjort förteckningar över behandlingar som omfattas av en konsekvensbedömning avseende dataskydd. Dessutom har flera dataskyddsmyndigheter utvecklat guider, programvara eller självbedömningsverktyg för att hjälpa till med bedömningen.

Mer information: