Vanliga frågor
Vilka sanktioner riskerar vi om vår organisation inte följer GDPR eller om vår behandling bryter mot GDPR?
Efterlevnaden av GDPR övervakas av de nationella dataskyddsmyndigheterna. Dataskyddsmyndigheterna kan genomföra tillsyner och utdöma sanktioner vid behov. Dataskyddsmyndigheterna har ett antal verktyg till sitt förfogande, inklusive admininstrativa sanktionsavgifter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen, beroende på vilket belopp som är högst, reprimander och tillfälliga eller permanenta förbud att behandla personuppgifter.
Ni hittar kontaktuppgifter för alla dataskyddsmyndigheter inom EES på EDPB:s webbplats: Medlemmar
Mer information:
Behöver vi inhämta samtycke för att kunna använda cookies på vår organisations webbplats?
Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.
Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.
Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.
Mer information:
Hur kan vi inhämta ett giltigt samtycke?
För att samtycket ska anses giltigt måste det vara
- fritt tillhandahållet,
- specifikt,
- informerat, och
- otvetydigt.
Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.
Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).
Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.
Mer information:
Hur snabbt måste vi svara på en begäran om åtkomst?
Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att svara, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.
Ni måste göra detta kostnadsfritt.
Mer information:
Kan vi använda övervakningskameror i våra affärslokaler för att skydda vår egendom?
Det första steget för att installera övervakningskameror är att identifiera syftet eller syftena med att göra det. Syftet med att installera övervakningskameror kan variera, t.ex. att säkerställa säkerheten i lokalerna, hjälpa till att förebygga och upptäcka stölder och andra brott eller skydda arbetstagarnas liv och hälsa på grund av arbetets art.
Precis som vid all behandling av personuppgifter måste registreringen av enskilda personer ha en rättslig grund enligt dataskyddsförordningen. Samtycke kan utgöra en rättslig grund för sådan databehandling. Det är dock osannolikt att detta i de flesta fall kommer att gälla för användningen av övervakningskameror, eftersom det kommer att bli svårt att få ett frivilligt samtycke från alla som sannolikt kommer att registreras. Den vanligaste rättsliga grunden för denna typ av behandling av personuppgifter är berättigat intresse. När behandlingen grundar sig på ett berättigat intresse måste ni göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.
Ni kommer att behöva informera individer om att de registreras. Detta kan göras genom att placera lättlästa skyltar på framträdande platser. Dessutom bör en skylt som anger kamerabevakningens syfte samt den personuppgiftsansvariges identitet och kontaktuppgifter placeras vid alla ingångar.
Personer vars bilder registreras av kamerabevakning bör få följande information:
- den personuppgiftsansvariges identitet och kontaktuppgifter.
- ändamålen med behandlingen,
- den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om.
- kontaktuppgifter till dataskyddsombudet (om det finns ett sådant).
- mottagarna eller kategorierna av mottagare av uppgifterna.
- säkerhetsarrangemangen för filmerna från kamerabevakningen.
- lagringstiden för filmerna från kamerabevakningen.
- förekomsten av enskildas rättigheter enligt den allmänna dataskyddsförordningen och rätten att lämna in ett klagomål till den nationella dataskyddsmyndigheten.
Mer information:
Om vi vill lagra meritförteckningar för kandidater för framtida rekryteringsförfaranden, måste vi be om de sökandes samtycke?
Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.
Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.
Mer information:
Vem kan fylla rollen som dataskyddsombud?
Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.
Mer information:
Vilken information ska vi kommunicera till/dela med enskilda personer?
GDPR ger individer kontroll över behandlingen av sina personuppgifter. För att göra detta är transparens avgörande. Detta innebär att ni måste informera personer vars uppgifter ni behandlar om er behandling och ändamålen med den. Med andra ord måste ni förklara vem som behandlar deras data, men också hur och varför. Endast om användningen av personuppgifter är transparent för de inblandade kan de bedöma eventuella risker och fatta beslut om sina personuppgifter.
Enligt GDPR är ni skyldiga att dela följande information med enskilda personer:
- den personuppgiftsansvariges identitet och kontaktuppgifter.
- ändamålen med behandlingen,
- den rättsliga grunden för behandlingen (om berättigat intresse, specifik information om vilka berättigade intressen som den aktuella behandlingen avser och vems eller vilkas berättigade intressen det handlar om).
- den personuppgiftsansvariges kontaktuppgifter.
- dataskyddsombudets kontaktuppgifter (om det finns ett dataskyddsombud).
- mottagarna eller kategorierna av mottagare av uppgifterna.
- Information om huruvida uppgifterna kommer att överföras utanför Europeiska ekonomiska samarbetsområdet (EES) (i tillämpliga fall: förekomsten eller inte av ett beslut om adekvat skyddsnivå eller hänvisning till lämpliga skyddsåtgärder och hur denna information kan göras tillgänglig för de registrerade,
- de kategorier av personuppgifter som behandlas, när uppgifterna inte erhålls från den enskilde.
Dessutom kräver GDPR att er organisation tillhandahåller följande information för att säkerställa korrekt och transparent behandling:
- lagringsperioden eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
- rätten att begära åtkomst, radering, rättelse, begränsning, invändning och portabilitet av personuppgifter.
- rätten att lämna in ett klagomål till en dataskyddsmyndighet.
- om den rättsliga grunden för behandlingen är samtycke: rätten att när som helst återkalla samtycket;
- vid automatiserat beslutsfattande, relevant information om den underliggande logiken och de avsedda konsekvenserna av behandlingen för den registrerade.
- källan till personuppgifterna (om ni inte har tagit emot dem direkt från den berörda personen;
- huruvida den enskilde är skyldig att tillhandahålla personuppgifterna (enligt lag eller avtal eller för att ingå ett avtal) och vad konsekvenserna av att vägra lämna uppgifterna är.
Mer information:
Är dataskyddsombudet (DSO) ansvarigt för att följa GDPR?
Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.
Mer information:
Gäller GDPR även pappersdokumentation?
Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.
Mer information: