Ni kan inte lagra personuppgifter för alltid.

I regel kan personuppgifter endast lagras så länge som är nödvändigt mot bakgrund av de ändamål för vilka personuppgifterna behandlas.

I vissa fall kan lagringstiden bestämmas genom särskilda lagar, till exempel om arbetslagstiftningen fastställer en viss lagringsperiod för lönelistor.

Organisationer bör införa policyer för lagring av uppgifter för att se till att personuppgifter inte lagras längre än vad som är nödvändigt. Enskildas personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga för det ändamål för vilket behandlingen har skett.

Mer information:

• Grunderna för dataskydd

Enskilda personer har rätt att begära radering av personuppgifter som rör dem och i så fall är den personuppgiftsansvarige skyldig att radera personuppgifterna. Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att tillmötesgå begäran, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Det är viktigt att notera att rätten till radering inte är absolut. Den gäller inte när uppgifterna i fråga är nödvändiga för

• utövande av rätten till yttrande- och informationsfrihet (t.ex. för journalistiska ändamål).
• fullgörande av en rättslig skyldighet som kräver behandling av personuppgifter (t.ex. register över anställdas arbetstider).
• skäl som rör ett viktigt allmänt intresse på folkhälsoområdet
• arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, och
• fastställande, utövande eller försvar av rättsliga anspråk.

Om de personuppgifter som ska raderas tidigare har överförts till andra organisationer måste ni informera dessa mottagare om att personen har begärt radering, såvida detta inte visar sig vara omöjligt eller skulle kräva oproportionerliga ansträngningar.

Mer information:

• Respektera enskildas rättigheter

I den allmänna dataskyddsförordningen föreskrivs särskilda rättigheter för enskilda personer som måste respekteras. Ni kan göra detta genom att:

• informera personer vars uppgifter ni behandlar om er behandling och ändamålen med behandlingen när ni samlar in deras uppgifter, till exempel via en integritetspolicy på er webbplats;
• genom att svara på enskildas begäranden om att utöva sina rättigheter, såsom åtkomst, rättelse, invändning, radering eller förfrågningar om dataportabilitet.

Organisationer som är öppna med sin användning av personuppgifter och som respekterar enskildas rättigheter är mindre benägna att bli föremål för klagomål.

Mer information:

• Respektera enskildas rättigheter

För att samtycket ska anses giltigt måste det vara

• fritt tillhandahållet,
• specifikt,
• informerat, och
• otvetydigt.

Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.

Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).

Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

EDPB publicerar regelbundet pressmeddelanden, nyhetsartiklar, bloggar och annat innehåll på sin webbplats och sina kanaler för sociala medier (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) för att hålla dataskyddsintresserade och allmänheten uppdaterad om sitt arbete.

EDPB:s webbplats har också två RSS-flöden som ni kan prenumerera på för automatiska uppdateringar av EDPB:s nyheter och EDPB:s senaste publikationer.

Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är  förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:

• säkerhet ifråga om tillgång till lokaler;
• använd regelbundet uppdaterade antivirusprogram;
• omsorgsfullt val av lösenord;
• kräv att användarna  autentiserar sig innan de använder verksamhetens datorer;
• ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.

Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…

Mer information:

• Säkra personuppgifter

Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.

Mer information:

• Grunderna i dataskydd

Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter,  automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.

Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.

Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.

Mer information:

• Grunderna i dataskydd

Nej, du behöver inte vara certifierad för att bli ett dataskyddsombud.

Dataskyddsombuden måste dock kunna visa att de har de nödvändiga kvalifikationer som krävs enligt den allmänna dataskyddsförordningen, såsom expertkunskaper om dataskyddslagstiftning och dataskyddspraxis.

Mer information:

• Dataskyddsombud

Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.

Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.

Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.

Mer information:

• Behandla personuppgifter på ett lagligt sätt