Personuppgiftsansvariga kan endast behandla personuppgifter under någon av följande omständigheter:

• med de berörda personernas samtycke,
• om behandlingen är nödvändig för att fullgöra ett avtal (ett avtal mellan er organisation och  den registrerade);
• uppfylla en rättslig förpliktelse enligt EU-lagstiftning eller nationell lagstiftning,
• om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt EU-lagstiftning eller nationell lagstiftning,
• för att skydda en enskilds grundläggande intressen,
• för er organisations berättigade intressen – utom när de  registrerades rättigheter och friheter väger tyngre än dessa intressen.

Dessutom fastställer dataskyddsförordningen ytterligare villkor för behandling av känsliga personuppgifter.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

• All behandling av personuppgifter måste vara laglig, korrekt och transparent.
• Samla endast in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen av en persons uppgifter måste vara strikt begränsad till det eller de ändamål som ursprungligen fastställdes och kan därför inte behandlas för efterföljande eller andra ändamål som är oförenliga med de ursprungliga ändamålen.
• Behandla endast personuppgifter som är nödvändiga och proportionerliga mot bakgrund av det avsedda ändamålet.
• Alla personuppgifter som ni behandlar måste vara korrekta och hållas uppdaterade. Felaktiga personuppgifter måste rättas eller raderas.
• Lagringen av enskildas personuppgifter måste vara tidsbegränsad med hänsyn till det ändamål för vilket dessa uppgifter samlades in och behandlades. Enskilda personers personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga.
• Behandlingen av enskildas uppgifter måste ske på ett säkert sätt. I detta avseende måste robusta cybersäkerhetsåtgärder införas för att säkerställa att enskilda personers uppgifter skyddas på ett adekvat sätt.

Slutligen är den personuppgiftsansvarige ansvarig. Detta innebär att den är ansvarig för och måste kunna visa att principerna ovan följs.

Mer information:

• Grundläggande dataskydd

Dataskyddsförordningen, GDPR, ålägger alla organisationer som behandlar personuppgifter skyldigheter, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden.

Ni bör framför allt

• Fråga er själva om det syfte för vilket personuppgifter kan samlas in är motiverat och endast samla in personuppgifter som är nödvändiga för det eller de specifika ändamål som planeras;
• Hålla enskildas personuppgifter korrekta och uppdaterade och radera uppgifterna när de inte längre behövs,
• Respektera enskildas rättigheter genom att informera dem om hur och varför deras uppgifter behandlas och göra det möjligt för dem att utöva sina rättigheter,
• Kontrollera om ni har en lämplig rättslig grund för behandlingen av personuppgifter. Om ni har för avsikt att förlita er på samtycke från enskilda personer, be om deras samtycke innan ni behandlar deras personuppgifter;
• Se till att enskildas personuppgifter hanteras på ett säkert sätt;
• För register över era personuppgiftsbehandlingar.

Personuppgiftsbiträden måste uppfylla de skyldigheter som anges i personuppgiftsbiträdesavtalet, och de får inte behandla uppgifterna på annat sätt än enligt den personuppgiftsansvariges instruktioner.

Mer information:

• Uppfylla kraven
• Personuppgiftsansvarig eller personuppgiftsbiträde
• Grunderna i dataskydd

Cookies är små filer som lagras på en enhet, till exempel en dator, en mobil enhet eller någon annan enhet som kan lagra information. Cookies tjänar ett antal viktiga funktioner, inklusive att komma ihåg användare och deras tidigare interaktioner med en webbplats. De kan användas för att hålla reda på objekt i en online-kundvagn eller för att hålla reda på information när uppgifter infogas i ett online ansökningsformulär.

Autentiseringscookies är också viktiga för att identifiera användare när de loggar in på banktjänster och andra onlinetjänster. Informationen som lagras i cookies kan innehålla personuppgifter, till exempel en IP-adress, ett användarnamn, en unik identifierare eller en e-postadress.

Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:

• organisationen är en offentlig myndighet.
• organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
• organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.

Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.

Mer information:

• Dataskyddsombud

Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.

Mer information:

• Dataskyddsombud

Nej, behandling av känsliga uppgifter är i allmänhet förbjuden, utom under mycket specifika omständigheter:

• Den enskilde har gett sitt uttryckliga samtycke till att deras känsliga uppgifter behandlas.
• Behandlingen av känsliga uppgifter är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter, särskilt när det gäller sysselsättning, social trygghet och socialt skydd. Den personuppgiftsansvarige kan till exempel behöva behandla en persons känsliga uppgifter för att kunna avgöra om de har rätt till vissa socialförsäkringsförmåner eller anställningsstipendier.
• Behandlingen av känsliga uppgifter är nödvändig för att skydda de grundläggande intressena hos en person där personen är fysiskt eller juridiskt oförmögen att ge sitt samtycke. Till exempel, om en person lämnas medvetslös till följd av en olycka och kräver omedelbar medicinsk vård, kan deras hälsodata behöva behandlas för att lämplig medicinsk vård ska tillhandahållas.
• Behandlingen av känsliga uppgifter sker inom ramen för berättigad verksamhet hos en stiftelse, förening eller annan ideell organisation med ett politiskt, filosofiskt, religiöst eller fackligt syfte och endast för behandling av personuppgifter om deras medlemmar, tidigare medlemmar eller personer som har regelbunden kontakt med dem.
• De känsliga uppgifterna har tydligt offentliggjorts av den registrerade
• Behandling av känsliga uppgifter är nödvändig i samband med rättsliga förfaranden.
• Behandlingen av känsliga uppgifter är nödvändig för frågor av väsentligt allmänintresse.
• Behandlingen av känsliga uppgifter är nödvändig inom ramen för förebyggande hälso- och sjukvård eller yrkesmedicin. Till exempel kan det vara nödvändigt att behandla en persons känsliga uppgifter, såsom deras medicinska uppgifter, för att fastställa deras arbetsförmåga som anställd.
• Behandlingen av känsliga uppgifter är nödvändig för folkhälsofrågor på grundval av EU-lagstiftning eller nationell lagstiftning. Till exempel kan behandling av enskildas känsliga uppgifter vara nödvändig för att säkerställa en hög kvalitet på hälso- och sjukvården och en hög kvalitet på medicinska produkter, eller för att bekämpa allvarliga hälsohot, såsom virus.
• Behandlingen av känsliga uppgifter är nödvändig för arkivändamål av allmänt intresse, för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål. Till exempel kan behandling av känsliga uppgifter vara nödvändig för att tillhandahålla korrekt statistik om ett lands situation inom ett visst område.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.

Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.

En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att svara, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Ni måste göra detta kostnadsfritt.

Mer information:

• Respektera enskildas rättigheter