Vanliga frågor
Kan vi överföra personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES)?
Enligt dataskyddsförordningen finns det i princip två huvudsakliga sätt att överföra personuppgifter till ett land utanför EES eller till en internationell organisation. Överföringar får ske på grundval av ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, på grundval av lämpliga skyddsåtgärder, inbegripet verkställbara rättigheter och rättsmedel för enskilda.
Mer information:
Måste även personuppgiftsbiträden respektera GDPR?
Ja, personuppgiftsbiträden (dvs. personer eller verksamheter som behandlar uppgifter på uppdrag av en personuppgiftsansvarig) har skyldigheter enligt dataskyddsförordningen. Det finns dock vissa skillnader mellan ansvaret för personuppgiftsansvariga och personuppgiftsbiträden.
Personuppgiftsbiträden måste följa de skyldigheter som anges i personuppgiftsbiträdesavtalet, som närmare beskriver behandlingen och sättet att behandla personuppgifter. Personuppgiftsbiträdet måste till exempel utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt den personuppgiftansvariges anvisningar. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.
Mer information:
Måste jag vara certifierad för att bli ett dataskyddsombud (DSO)?
Nej, du behöver inte vara certifierad för att bli ett dataskyddsombud.
Dataskyddsombuden måste dock kunna visa att de har de nödvändiga kvalifikationer som krävs enligt den allmänna dataskyddsförordningen, såsom expertkunskaper om dataskyddslagstiftning och dataskyddspraxis.
Mer information:
Måste vår organisation följa GDPR?
Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter, automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.
Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.
Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.
Mer information:
Ska vi utse ett dataskyddsombud?
Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:
- organisationen är en offentlig myndighet.
- organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
- organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.
Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.
Mer information:
Vad är cookies?
Cookies är små filer som lagras på en enhet, till exempel en dator, en mobil enhet eller någon annan enhet som kan lagra information. Cookies tjänar ett antal viktiga funktioner, inklusive att komma ihåg användare och deras tidigare interaktioner med en webbplats. De kan användas för att hålla reda på objekt i en online-kundvagn eller för att hålla reda på information när uppgifter infogas i ett online ansökningsformulär.
Autentiseringscookies är också viktiga för att identifiera användare när de loggar in på banktjänster och andra onlinetjänster. Informationen som lagras i cookies kan innehålla personuppgifter, till exempel en IP-adress, ett användarnamn, en unik identifierare eller en e-postadress.
Vad bör ingå i ett avtal mellan personuppgiftsansvarig och personuppgiftsbiträde?
I avtalet mellan den pesonuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet
- behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
- säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
- säkerställer säkerheten vid behandlingen,
- inte får anlita ett annat personuppgiftsbiträde utan den personuppgiftsansvariges särskilda eller allmänna skriftliga tillstånd,
- bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
- bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
- efter den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
- gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt den allmänna dataskyddsförordningen efterlevs,
- möjliggör och bidrar till revisioner, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan revisor som den personuppgiftsansvarige bemyndigat.
Dessutom ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om den anser att instruktioner strider mot den allmänna dataskyddsförordningen eller andra EU-bestämmelser eller nationella dataskyddsbestämmelser.
Mer information:
Vad innebär behandling av personuppgifter?
Med behandling av personuppgifter avses varje typ av behandling som utförs på eller med enskilda personers personuppgifter. Detta omfattar insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, undersökning, användning, utlämnande genom överföring, spridning eller tillhandahållande på annat sätt , justering eller sammanförande, begränsning, radering eller förstöring av personuppgifter.
Vad kan vi göra om personuppgiftsbiträdet inte vill underteckna ett personuppgiftsbiträdesavtal?
Ett giltigt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet är obligatoriskt enligt dataskyddsförordningen, GDPR. En överträdelse kan leda till en administrativ sanktionsavgift på upp till 10 miljoner euro eller upp till 2 % av ett företags totala årsomsättning, beroende på vilket belopp som är högst.
De danska och slovenska dataskyddsmyndigheterna samt Europeiska kommissionen har tagit fram mallavtal för att hjälpa er att upprätta ett avtal med ett personuppgiftsbiträde.
Mer information:
Vi organiserar ett evenemang som en del av vår affärsverksamhet, kan vi ta bilder och videor av evenemanget och de personer som deltar?
Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.
En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.
Mer information: