Ange information vid inhämtning av personuppgifter
Det finns information som företag ska ange vid inhämtning av personuppgifter för att företaget ska följa GDPR.
Behandling
Behandling
Behandling av personuppgifter enligt dataskyddsförordningen
Det finns flera saker att tänka på vid behandling av personuppgifter enligt dataskyddsförordningen (GDPR) och hantering av personuppgiftsincidenter.
En personuppgift är en uppgift som kan bli kopplad till en fysiskt levande person. Företag måste behandla personuppgifter i enlighet med GDPR som reglerar hur det ska gå till. Exempel på personuppgifter är namn och personnummer. Dessutom är det skillnad på personuppgifter med subjektiv och objektiv karaktär samt tydliga och mindre tydliga personuppgifter. Exempel på behandling av personuppgifter är insamling, lagring, bearbetning, strukturering, radering och användning. I princip allt man gör med personuppgifter, är en form av behandling.
Företag ska arbeta förebyggande genom att vidta organisatoriska och tekniska säkerhetsåtgärder för att försöka minimera risken för personuppgiftsincidenter. Dessutom ska företag ha rutiner för att kunna hantera eventuella personuppgiftsincidenter. Kort sagt är en personuppgiftsincident när personuppgifter blir förstörda eller ändrade. Detsamma gäller om någon obehörig får tillgång till personuppgifter. En vanlig personuppgiftsincident är felskickade mejl som innehåller personuppgifter. I vissa fall kan personsuppgiftsincidenter få allvarliga konsekvenser för de registrerade som blir drabbade. Till exempel att de blir drabbade av ID-stöld eller bedrägeri. I vissa fall har företag en skyldighet att rapportera personuppgiftsincidenter till IMY och registrerade.
Om ett företag behandlar personuppgifter på ett sätt som inte är lämpligt, kan det leda till att de får betala en sanktionsavgift. Det är IMY (Integritetsskyddsmyndigheten) som är tillsynsmyndigheten i Sverige och de har befogenhet att tilldela företag, organisationer och offentliga organ sanktionsavgifter vid överträdelser av GDPR. Däremot utfärdar de inte alltid sanktionsavgifter, utan det beror på situationen. Vid mindre överträdelser kan de istället ge en reprimand (varning). Dessutom kan de be företaget upphöra med behandlingen.
Tredjeland betyder enligt GDPR ett land utanför EU/EES-området. Det är tillåtet at överföra personuppgifter till ett tredjeland i vissa fall, men då gäller striktare regler. Ett exempel på överföring till tredjeland är när ett företag skickar ett mejl till någon i USA som innehåller personuppgifter. Vissa länder uppfyller kraven för adekvat skyddsnivå utanför EU/EES-området och då är det tillåtet att överföra personuppgifter dit. Observera att företag inte kan göra den bedömningen själva, utan det är EU-kommissionen som gör det.
Behandling
Tre faser i livscykeln för personuppgifter
Det finns tre faser i livscykeln för personuppgifter. En personuppgift är en uppgift som går att koppla till en fysiskt levande person.
Behandling
Övergripande regler vid behandling av personuppgifter P
Här är några övergripande regler vid behandling av personuppgifter som företag måste tänka på och följa enligt GDPR.
Behandling
Kärnverksamhet och bedömning av stor omfattning
Kärnverksamhet och bedömning av stor omfattning är viktigt att definiera för att bedöma om ett företag ska behöva ha ett dataskyddsombud.
Behandling
Känsliga personuppgifter för arkiv- och statistikändamål
I kompletteringslagen till GDPR finns det bestämmelser om känsliga personuppgifter för arkiv- och statistikändamål som forskare kan använda.