FAQ2018-03-03T15:56:22+00:00
Vad är det för skillnad mellan PuL och GDPR2018-09-17T10:26:04+00:00

Mycket av lagstiftningen är lika men det finns vissa tydliga skillnader. Dessa är:

  • Ansvarsskyldighet Med GDPR måste ni som företag även kunna visa vad ni vill göra med personuppgifterna ni samlar in, registrerar eller sparar. Pul handlar snarare om vad som görs med informationen när den väl är insamlad eller registrerad
  • Anmälan till Datainspektionen Om det uppstår säkerhetsproblem, till exempel ett dataintrång eller om personuppgifter oavsiktligt försvinner eller tappas bort, måste ni anmäla det till Datainspektionen inom 72 timmar. Det kan även vara nödvändigt att informera personerna som personuppgifterna tillhör.
  • Dataskyddsombud: Rollen måste finnas under vissa förutsättningar
  • Sanktionsavgifter: Bryter ni mot dataskyddsförordningen kan Datainspektionen utdela böter beroende på hur allvarlig överträdelsen är samt beroende på om det skett avsiktligt eller ej. Det högsta bötesbeloppet är 20 miljoner euro, eller 4 procent av er globala omsättning, beroende på vilket som är högst.
  • Dataportabilitet: Med Pul räckte det med att företag informerade ATT dina personuppgifter blev registrerade. Med GDPR har vi även rätt att få ut de personuppgifter som vi lämnat för att föra över dem till en annan tjänst,
6. Hur mycket pengar uppskattar polisen att bedrägerier omfattade 20132018-08-23T21:36:44+00:00
5. Vilket är det bästa sättet att vara anonym på nätet?2018-08-23T20:33:56+00:00

Kan man vara anonym på nätet? Många tror idag att om man surfar in på en webbsida utan att vara inloggad att man har någon form av anonymitet. I dagsläget är det inte en sanning om man lägger samman alla olika komplexa sätt som man blir spårad på nätet.

Det finns olika tekniker för webbplatser att hålla reda på vilken trafik som besöker dem. En stor del av webbplatserna på nätet använder Google Analytics, vilket är en gratis tjänst för webbplatsägarna som ger dem ett bra underlag på vilka som har besökt sidan. Denna fungerar genom att lägga en cookie på din dator för att spåra hur länge som du varit inne på sidan samt vilka sidor som du besökt. En stor fördel i detta fallet är att inga personuppgifter skickas till webplatsägaren från Google. Webplatsägaren kan se statistik på siten. GDPR.se använder Google Analytics. Vi är medvetna att er aktivitet kommer att aggregeras i Googles databas. Men enligt deras dataskyddspolicy lagras inga personuppgifter utan enbart statistik kring olika kategorier av besökare på webbplatsen.

Det finns även en ökande trend inom marknadsföring som få användare är medvetna om att du som individ kan bli igenkänd på en webbplats utan att logga in. Detta kan ske genom att någon lagt in en cookie på din dator i syfte att spåra just din trafik på deras hemsida. Ett typiskt exempel är att man fått ett nyhetsbrev vilken innehåller en bild ( vilken ibland kan vara 1 pixel stor), denna gör att en cookie skapas som kan knytas till dig som individ.  Går du sen in på den webbplatsen som den som sände ut nyhetsbrevet kommer ifrån vet de exakt vilken användare som har besökt deras hemsida!

Generellt brukar man säga att VPN, Virtual Private Network, är det bästa sättet att vara anonym på nätet. En VPN uppkoppling fungerar genom att du ansluter till en kopplingspunkt och tunnlar vidare genom en säker kanal och surfar från en annan plats än där du sitter egentligen. Eftersom du kan ställa in VPN tunneln att du har annorlunda uppkopplingsparametrar varje gång har du möjligheten att surfa med anonymitet. Men, har du kakor eller tex om din dator är smittad av virus sedan tidigare är det inte säkert att du är anonym, trots att du använder dig av VPN

Svaret på Quizfrågan är

VPN

Men kom ihåg; Det är svårt att garantera anonymitet på nätet. Utgå alltid från att om någon vill följa dig så kommer de att ha möjligheten till det.

 

3. Om jag vill ha reda på vilken information en organisation har om mig, kan jag det?2018-08-22T06:00:01+00:00
2. Om jag lägger upp en bild på facebook, får de använda den i sina egna syften.2018-08-21T16:47:28+00:00

Hur bolag använder det material som användare laddar upp ska regleras i avtalet mellan parterna. I fallet med Facebook så står svaret i avtalet som man klickar förbi när man skapar kontot.  Detta avtal har antagligen ändrats ett antal gånger sedan du skapade kontot.

Tidigt i Facebooks historia hade de rätt att använda alla bilder som lades upp helt i sina egna syften, detta har man dock ändrat på senare tid. Dock finns det mycket värde i att analysera innehållet i bilderna som läggs upp och det metadata som finns i bilderna.  Tittar man i kontraktet i som gäller nu (aug 2018) står följande:

ddd ddd ddd

d

I samband med GDPR finns även skrivelser att informationen om vad organisationerna gör med den data som de samlar in skall vara lättillgängligt. Detta kan fortfarande diskuteras om vi har nått dit.

I quizuppgiften är rätt svar:

  • Ja, Facebook använder uppgifterna till profilering av ansikten…
1. Om du som konsument blir bedragen via telefon att använda ditt bankID, har du någon rätt att få tillbaka förlorade pengar2018-08-21T15:29:54+00:00

BankID bedrägerierna ökar, om det händer dig, har du någon rätt att få tillbaka pengarna?

Generellt sätt är svaret på frågan att du står ansvarig om du själv uppgett ditt lösenord eller blivit lurad att godkänna ett bankID. Men senare fall i domstolar har gett individer rätt (länk) där banken tvingats ge ersättning till individen. Man kan dock se en trend att bankerna kommer att bli allt hårdare på denna fråga desto vanligare denna typ av bedrägeri blir.

I quizet ger alternativet

“Ja, jag får stå mitt kast” fullt rätt

“Ja, banken ersätter min förlust” 1/2 rätt på grund av ovanstående rättsfall

“Ja, försäkringsbolaget ersätter” 0 poäng

Måste min organisation ha ett dataskyddsombud?2018-03-03T19:24:57+00:00

Det finns vissa fall när en organisation måste ha ett dataskyddsombud:

Om ni svarar ja på någon av de här tre frågorna måste ni ha ett dataskyddsombud:

  1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
  2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
  3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

 

Datainspektionen rekommenderar

Även om ni inte måste ha ett dataskyddsombud kan det vara bra för er organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade, era kunder. Det kan i sin tur ge fördelar i konkurrensen med andra företag.

Vi rekommenderar att organisationer utser ett dataskyddsombud, även om de inte måste, om de

  • utför arbetsuppgifter av allmänt intresse
  • utför uppgifter som innefattar myndighetsutövning.

 

Läs mer på datainspektionens hemsida: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/dataskyddsombud/maste-vi-utse-ett-dataskyddsombud/

Kan man fortfarande skicka direktreklam på samma sätt som tidigare?2018-02-20T15:01:57+00:00

Det är fortfarande tillåtet att skicka direktreklam om reglerna i GDPR följs. De registrerade har dock rätt att invända mot direktmarknadsföring. Om du fått ett samtycke till att behandla personuppgifterna så ska det vara lika lätt att ta tillbaka samtycket som att lämna samtycket.

 

Man kan läsa mer om direktreklam på följande länk:

https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/intresseavvagning/#4

 

 

 

Måste man ta bort tidigare registrerade uppgifter på gamla kunder?2018-02-20T14:54:43+00:00

Ja, när du inte längre har något syfte med att behandla uppgifterna eller inte har någon grund för laglig behandling längre ska du radera uppgifterna.

Bokföringslagen som säger att jag ska spara bokföring på papper och digitalt i 7 år, Vad gäller?2018-02-20T12:55:46+00:00

GDPR är en EU-förordning och gäller före svensk nationell rätt. GDPR ger möjlighet att lagra uppgifter som det krävs i unionsrätten eller i nationell rätt t.ex. svenska bokföringslagen.

 

Alltså. Du har rätt att spara informationen på samma sätt som tidigare.

Hur hanteras befintliga distributionslistor som företag byggt upp för deras nyhetsbrev eller andra utskick? 2018-03-03T15:54:34+00:00

Kunderna behöver inte tillfrågas igen innan utskick av nyhetsbrev efter att GDPR börjat gälla. Ni ska enligt den tidigare lagstiftningen lämnat information till de registrerade. Det kan dock vara lämpligt att ha en kortfattad information som skickas ut till alla i distributionslistan att man arbetar med GDPR och man hanterar informationen i framtiden.

Ditt företag bör också se till att nyhetsbrevet innehåller information om hur mottagarna ska kunna avregistrera sig om de motsätter sig att deras personuppgifter används för direktmarknadsföring.

 

Hur hanterar man kundrecensioner om man har en webbshop?2018-02-20T08:17:48+00:00

Som ägare till webshopen är du ansvarig för informationen som skrivs där. Dvs. ansvaret ligger på dig att man inte publicerar personuppgifter som inte borde finnas där.

Dock är det ingen större skillnad från idag då man redan är ansvarig för att kommentarer inte innehåller information som hets mot folkgrupp, barnporr etc.  enligt den s.k. BBS-lagen måste innehavaren kontrollera kommentarer som inkommer. Denne är dock bara ansvarig för uppenbara fall av uppvigling, barnporr, upphovsrättsbrott, hets mot folkgrupp och olaga våldsskildring, som hen inte tagit bort inom (ca.) en vecka. Förtal, förolämpning och olaga hot är innehavaren av ”anslagstavlan” INTE automatiskt ansvarig för.

Vad måste jag göra om kunder lämnar uppgifter vid t ex tävlingar (mobilnummer, e-postadress) för att kunna bli kontaktade efteråt?2018-02-20T08:07:15+00:00

GDPR gäller, dvs du måste ha kontroll på att du har uppgifterna i ett register. Du behöver funderat på hur länge som du skall spara uppgifterna och du ska bara använda dom till syftet som du hade när du samlade in dem. Du behöver dock inte kontakta personen (eftersom de själva har gett dig uppgifterna.

Du bör vid inlämningstillfället ha förberett en information som man kan läsa hur du resonerar kring hur du ska använda informationen som man ger.

Omfattas mitt kundklubbsregister av den nya lagstiftningen?2018-02-20T07:58:37+00:00

Ja, om det innehåller personuppgifter

Vad är det för skillnad på samtycken enligt PUL och GDPR?2018-02-20T07:57:53+00:00

Ett samtycke enligt GDPR ska vara uttryckligt, välinformerat, frivilligt och dokumenterat. Tidigare har underförstådda samtycken godtagits

Vad är ett personuppgiftsbiträdesavtal?2018-02-20T07:57:24+00:00

En bilaga till ett affärsavtal som beskriver vilka personuppgifter som leverantören hanterar och hur uppgifterna ska skyddas

Får jag lägga in uppgifter om kunders e-post och mobilnummer i min mobil utan tillåtelse?2018-02-20T07:56:14+00:00

Ja, GDPR bygger på att man skall behandla andras uppgifter med respekt. När det gäller information i mobilen förutsätter man att det ligger i personens intresse att finnas med i mobilen.

Vad är registret över behandlingar?2018-02-20T07:52:58+00:00

En beskrivning av de personuppgiftsbehandlingar som din organisation har. Registret är en mycket bra källa för att hålla reda på vilka behandlingar som organisationen utför.

Är det tillåtet att skicka lönebesked via e-post?2018-02-20T07:51:01+00:00

Nej, e-post anses inte vara ett tillräckligt säkert sätt för att skicka lönespecifikationer.

Post går bra och tjänster som för digitala brev. Man skall inte komma åt lönebeskedet utan inloggning.

Vem får pengarna för den administrativa sanktionsavgiften?2018-02-19T19:18:13+00:00

Svenska staten, pengarna går direkt in i svenska statsbudgeten.

Vem får pengarna för den administrativa sanktionsavgiften?2018-03-02T17:01:31+00:00

Svenska staten, pengarna går direkt in i statsbudgeten.

Vilka rättigheter har jag som registrerad efter GDPR?2017-10-05T22:05:43+00:00

GDPR stärker skyddet för dig som registrerad. Många av rättigheterna är saker som du redan har idag genom PuL. En nyhet är att du har rätt att kräva att dina uppgifter som du skapat eller generat kan porteras.

Dina rättigheter är enligt GDPR, länkarna hänvisar vidare till datainsplektionens hemsida för mer information.

Rätt till information
Rätt till rättelse
Rätt till radering (“rätten att bli bortglömd”)
Rätt till begränsning av behandling
Dataportabilitet
Rätt att göra invändningar
Automatiserat beslutsfattande, inbegripet profilering

Subsidär2018-03-02T16:59:00+00:00

Subsidiär lag är lag som vars bestämmelser inte ska tillämpas om det finns avvikande bestämmelse i annan lag eller förordning, vars bestämmelser då istället ska tillämpas.

Tredje part2018-03-02T16:59:50+00:00

En fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgifts‐ansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna

Personuppgiftsbiträde2018-03-02T17:00:34+00:00

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, exempelvis en tjänsteleverantör eller webbhotell. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.

Personuppgiftsansvarig2017-10-05T21:56:14+00:00

En personuppgiftsansvarig är den som ensam eller

tillsammans med andra bestämmer ändamålen med och

medlen för behandlingen av personuppgifter.

Personuppgiftsansvarig är normalt den juridiska person

(till exempel aktiebolag, stiftelse eller förening) eller den

myndighet som behandlar personuppgifter i sin

verksamhet och som bestämmer vilka uppgifter som ska

behandlas och vad uppgifterna ska användas till.

Missbruksregeln2017-10-05T21:55:46+00:00

De flesta bestämmelserna i personuppgiftslagen behöver inte

tillämpas när man behandlar personuppgifter i ostrukturerat

material, till exempel i löpande text.

Denna regel kallas oftast “missbruksregeln”. Om en behandling

av personuppgifter faller in under missbruksregeln är det enda

kravet på den personuppgiftsansvariga att materialet inte

kränker den personliga integriteten hos den registrerade (det

vill säga ett missbruk av uppgifterna, varav namnet) (5 a § PuL).

Personuppgiftsincident2017-10-05T21:58:38+00:00

En säkerhetsincident som leder till oavsiktlig eller

olaglig förstöring, förlust eller ändring eller till

obehörigt röjande av eller obehörig åtkomst till de

personuppgifter som överförts, lagrats eller på annat

sätt behandlats

Känsliga personuppgifter (PUL)2017-10-05T21:58:45+00:00

Enligt personuppgiftslagen är känsliga personuppgifter

sådana som avslöjar

• ras eller etniskt ursprung,

• politiska åsikter

• religiös eller filosofisk övertygelse

• medlemskap i fackförening

• personuppgifter som rör hälsa eller sexualliv.

• Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök

Tillkommande i Dataskyddsförordningen

• behandling av genetiska uppgifter, biometriska uppgifter för att entydigt

identifiera en fysisk person

• uppgifter om en fysisk persons sexuella läggning

Europeiska dataskyddsstyrelsen (artikel 29‐gruppen) ‐ Artikel 682017-10-05T21:53:58+00:00

Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed

som ett unionsorgan och ska ha ställning som juridisk person.

2. Styrelsen ska företrädas av sin ordförande.

3. Styrelsen ska bestå av chefen för en tillsynsmyndighet per

medlemsstat och av Europeiska datatillsynsmannen eller deras

respektive företrädare.

4. Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för

att övervaka tillämpningen av bestämmelserna i denna förordning ska

en gemensam företrädare utses i enlighet med den medlemsstatens

nationella rätt.

5. Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten

utan rösträtt. Kommissionen ska utse en egen företrädare. Styrelsens

ordförande ska underrätta kommissionen om styrelsens verksamhet.

6. I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen

endast ha rösträtt i fråga om beslut som rör principer och regler som är

tillämpliga på unionens institutioner, organ och byråer, och som i allt

väsentligt motsvarar dem i denna förordning.

Förordning (EU)2017-10-05T21:53:33+00:00

En förordning är en typ av bindande unionsakt som kan antas

av Europeiska unionens institutioner. Förordningar utgör den

kraftfullaste typen av unionsakt, och används för att införa

enhetliga och direkt tillämpliga bestämmelser inom unionen.[1]

Förordningar har allmän giltighet och är till alla delar bindande

och direkt tillämpliga i alla medlemsstater.[2] De kan åberopas

inför en nationell domstol likt en nationell lag, utan krav på att

en medlemsstat har vidtagit några genomförandeåtgärder.

Huvudsyftet med en förordning är att fastställa enhetliga

bestämmelser. Alla förordningar måste ha en rättslig grund i

unionens fördrag. Förordningar som antas i enlighet med ett

lagstiftningsförfarande utgör lagstiftningsakter.[3] Om

Europeiska konstitutionen hade trätt i kraft skulle ”förordning”

ha ersatts med ”europeisk lag”.

Direktiv (EU)2017-10-05T21:52:49+00:00

Ett direktiv är en typ av bindande unionsakt som kan antas

av Europeiska unionens institutioner. Ett direktiv är bindande

för unionens medlemsstater med avseende på det resultat som

de ska uppnå, men överlåter åt de nationella myndigheterna att

bestämma tillvägagångssättet för genomförandet.[1] Till

skillnad från förordningar blir ett direktivs bestämmelser

bindande för andra fysiska eller juridiska personer först efter att

det harinförlivats i den nationella lagstiftningen.[2] Endast i

undantagsfall kan ett direktiv åberopas direkt inför en nationell

domstol likt en nationell lag eller en förordning.

Huvudsyftet med ett direktiv är att fastställa gemensamma mål

och krav på resultat, men att låta medlemsstaterna själva

bestämma form och tillvägagångssätt. Alla direktiv måste ha en

rättslig grund i unionens fördrag. Direktiv som antas i enlighet

med ett lagstiftningsförfarande utgör lagstiftningsakter.

Dataskyddsombud (Dataskyddsförordningen)2017-10-05T21:52:21+00:00

Ska utses i vissa fall (motsvarande personuppgiftsombud i

personuppgiftslagen).

Skyldigheten att utse dataskyddsombud omfattar bland annat

offentliga myndigheter och organisationer vars verksamhet

involverar särskilt riskfylld behandling, som exempelvis

regelbunden och systematisk övervakning av registrerade i stor

skala eller omfattande behandling av känsliga personuppgifter.

En särskilt integritetskänslig behandling kan därför komma att

kräva att dataskyddsombud utses både hos den

personuppgiftsansvarige och hos personuppgiftsbiträdet.

Den person som utses måste ha tillräcklig kunskap om

dataskydd och få det stöd och de befogenheter som krävs för

att kunna utföra sitt uppdrag på ett effektivt och oberoende

sätt.

Personuppgiftsombud (PUL)2017-10-05T21:51:33+00:00

Ett personuppgiftsombud är en person – ofta en anställd

– som ser till att personuppgifter behandlas korrekt och

lagligt inom en verksamhet. Ombudet ska föra en

förteckning över register och annan behandling av

personuppgifter och hjälper registrerade att få felaktiga

uppgifter rättade.

Ett personuppgiftsombud kan representera flera

personuppgiftsansvariga.

Dataskydd2017-10-05T21:50:59+00:00

Dataskydd och privatliv är mänskliga rättigheter som

balanserar makten över individers självständighet

mellan individer och organisationer

Behandling2017-10-05T21:50:33+00:00

Med behandling menas allt man gör med

personuppgifter. Exempel på behandling av

personuppgifter är: insamling, registrering, lagring,

bearbetning och spridning.

Registrerad2017-10-05T21:50:10+00:00

En identifierad eller identifierbar fysisk person som

direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett

identifikationsnummer, en lokaliseringsuppgift eller

onlineidentifikatorer eller en eller flera faktorer som är

specifika för den fysiska personens fysiska, fysiologiska,

genetiska, psykiska, ekonomiska, kulturella eller sociala

identitet

Personuppgifter2017-10-05T21:49:29+00:00

varje upplysning som avser en identifierad eller

identifierbar fysisk person (nedan kallad en registrerad),

varvid en identifierbar fysisk person är en person som

direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett

identifikationsnummer, en lokaliseringsuppgift eller

onlineidentifikatorer eller en eller flera faktorer som är

specifika för den fysiska personens fysiska, fysiologiska,

genetiska, psykiska, ekonomiska, kulturella eller sociala

identitet

Dvs allt som direkt eller indirekt kan kopplas till en

levande människa

GDPR2017-10-05T21:49:02+00:00

General data protection regulation. Det engelska

namnet på dataskyddsförordningen

Mycket är oklart, när vet vi allt?2017-10-05T22:00:18+00:00

EU har ett organ som kallas Artikel 29 gruppen som bereder och kommer med rekommendationer på hur man på ett gemensamt sätt skall tänka kring ett antal frågeställningar. Dessa betänkanden publiceras i medlemsländerna och det kommer ett antal av dessa under hösten 2017 och 2018. De finns att läsa på Datainspektionens hemsida:

http://www.datainspektionen.se/dataskyddsreformen/forberedelser/samarbete-inom-eu/

 

>