FAQ

Mycket av lagstiftningen är lika men det finns vissa tydliga skillnader. Dessa är:

• Ansvarsskyldighet Med GDPR måste ni som företag även kunna visa vad ni vill göra med personuppgifterna ni samlar in, registrerar eller sparar. Pul handlar snarare om vad som görs med informationen när den väl är insamlad eller registrerad
• Anmälan till Datainspektionen Om det uppstår säkerhetsproblem, till exempel ett dataintrång eller om personuppgifter oavsiktligt försvinner eller tappas bort, måste ni anmäla det till Datainspektionen inom 72 timmar. Det kan även vara nödvändigt att informera personerna som personuppgifterna tillhör.
• Dataskyddsombud: Rollen måste finnas under vissa förutsättningar
• Sanktionsavgifter: Bryter ni mot dataskyddsförordningen kan Datainspektionen utdela böter beroende på hur allvarlig överträdelsen är samt beroende på om det skett avsiktligt eller ej. Det högsta bötesbeloppet är 20 miljoner euro, eller 4 procent av er globala omsättning, beroende på vilket som är högst.
• Dataportabilitet: Med Pul räckte det med att företag informerade ATT dina personuppgifter blev registrerade. Med GDPR har vi även rätt att få ut de personuppgifter som vi lämnat för att föra över dem till en annan tjänst,

Kan man vara anonym på nätet? Många tror idag att om man surfar in på en webbsida utan att vara inloggad att man har någon form av anonymitet. I dagsläget är det inte en sanning om man lägger samman alla olika komplexa sätt som man blir spårad på nätet.

Det finns olika tekniker för webbplatser att hålla reda på vilken trafik som besöker dem. En stor del av webbplatserna på nätet använder Google Analytics, vilket är en gratis tjänst för webbplatsägarna som ger dem ett bra underlag på vilka som har besökt sidan. Denna fungerar genom att lägga en cookie på din dator för att spåra hur länge som du varit inne på sidan samt vilka sidor som du besökt. En stor fördel i detta fallet är att inga personuppgifter skickas till webplatsägaren från Google. Webplatsägaren kan se statistik på siten. GDPR.se använder Google Analytics. Vi är medvetna att er aktivitet kommer att aggregeras i Googles databas. Men enligt deras dataskyddspolicy lagras inga personuppgifter utan enbart statistik kring olika kategorier av besökare på webbplatsen.

Det finns även en ökande trend inom marknadsföring som få användare är medvetna om att du som individ kan bli igenkänd på en webbplats utan att logga in. Detta kan ske genom att någon lagt in en cookie på din dator i syfte att spåra just din trafik på deras hemsida. Ett typiskt exempel är att man fått ett nyhetsbrev vilken innehåller en bild ( vilken ibland kan vara 1 pixel stor), denna gör att en cookie skapas som kan knytas till dig som individ.  Går du sen in på den webbplatsen som den som sände ut nyhetsbrevet kommer ifrån vet de exakt vilken användare som har besökt deras hemsida!

Generellt brukar man säga att VPN, Virtual Private Network, är det bästa sättet att vara anonym på nätet. En VPN uppkoppling fungerar genom att du ansluter till en kopplingspunkt och tunnlar vidare genom en säker kanal och surfar från en annan plats än där du sitter egentligen. Eftersom du kan ställa in VPN tunneln att du har annorlunda uppkopplingsparametrar varje gång har du möjligheten att surfa med anonymitet. Men, har du kakor eller tex om din dator är smittad av virus sedan tidigare är det inte säkert att du är anonym, trots att du använder dig av VPN

Svaret på Quizfrågan är

VPN

Men kom ihåg; Det är svårt att garantera anonymitet på nätet. Utgå alltid från att om någon vill följa dig så kommer de att ha möjligheten till det.

Hur bolag använder det material som användare laddar upp ska regleras i avtalet mellan parterna. I fallet med Facebook så står svaret i avtalet som man klickar förbi när man skapar kontot.  Detta avtal har antagligen ändrats ett antal gånger sedan du skapade kontot.

Tidigt i Facebooks historia hade de rätt att använda alla bilder som lades upp helt i sina egna syften, detta har man dock ändrat på senare tid. Dock finns det mycket värde i att analysera innehållet i bilderna som läggs upp och det metadata som finns i bilderna.  Tittar man i kontraktet i som gäller nu (aug 2018) står följande:

ddd ddd ddd

d

I samband med GDPR finns även skrivelser att informationen om vad organisationerna gör med den data som de samlar in skall vara lättillgängligt. Detta kan fortfarande diskuteras om vi har nått dit.

I quizuppgiften är rätt svar:

• Ja, Facebook använder uppgifterna till profilering av ansikten…

BankID bedrägerierna ökar, om det händer dig, har du någon rätt att få tillbaka pengarna?

Generellt sätt är svaret på frågan att du står ansvarig om du själv uppgett ditt lösenord eller blivit lurad att godkänna ett bankID. Men senare fall i domstolar har gett individer rätt (länk) där banken tvingats ge ersättning till individen. Man kan dock se en trend att bankerna kommer att bli allt hårdare på denna fråga desto vanligare denna typ av bedrägeri blir.

I quizet ger alternativet

“Ja, jag får stå mitt kast” fullt rätt

“Ja, banken ersätter min förlust” 1/2 rätt på grund av ovanstående rättsfall

“Ja, försäkringsbolaget ersätter” 0 poäng

Det finns vissa fall när en organisation måste ha ett dataskyddsombud:

Om ni svarar ja på någon av de här tre frågorna måste ni ha ett dataskyddsombud:

1. Är ni en myndighet eller en folkvald församling, det vill säga ett offentligt organ?
2. Har ni som kärnverksamhet att regelbundet, systematiskt och i stor omfattning övervaka enskilda personer?
3. Har ni som kärnverksamhet att behandla känsliga personuppgifter eller uppgifter om brott i stor omfattning?

Datainspektionen rekommenderar

Även om ni inte måste ha ett dataskyddsombud kan det vara bra för er organisation att ha ett, exempelvis för att skapa ordning och reda i arbetet med personuppgifter. Det kan också skapa förtroende hos de registrerade, era kunder. Det kan i sin tur ge fördelar i konkurrensen med andra företag.

Vi rekommenderar att organisationer utser ett dataskyddsombud, även om de inte måste, om de

• utför arbetsuppgifter av allmänt intresse
• utför uppgifter som innefattar myndighetsutövning.

Läs mer på datainspektionens hemsida: https://www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/skyldigheter-for-de-som-behandlar-personuppgifter/dataskyddsombud/maste-vi-utse-ett-dataskyddsombud/

Det är fortfarande tillåtet att skicka direktreklam om reglerna i GDPR följs. De registrerade har dock rätt att invända mot direktmarknadsföring. Om du fått ett samtycke till att behandla personuppgifterna så ska det vara lika lätt att ta tillbaka samtycket som att lämna samtycket.

Man kan läsa mer om direktreklam på följande länk:

https://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/intresseavvagning/#4

Ja, när du inte längre har något syfte med att behandla uppgifterna eller inte har någon grund för laglig behandling längre ska du radera uppgifterna.

GDPR är en EU-förordning och gäller före svensk nationell rätt. GDPR ger möjlighet att lagra uppgifter som det krävs i unionsrätten eller i nationell rätt t.ex. svenska bokföringslagen.

Alltså. Du har rätt att spara informationen på samma sätt som tidigare.

Som ägare till webshopen är du ansvarig för informationen som skrivs där. Dvs. ansvaret ligger på dig att man inte publicerar personuppgifter som inte borde finnas där.

Dock är det ingen större skillnad från idag då man redan är ansvarig för att kommentarer inte innehåller information som hets mot folkgrupp, barnporr etc.  enligt den s.k. BBS-lagen måste innehavaren kontrollera kommentarer som inkommer. Denne är dock bara ansvarig för uppenbara fall av uppvigling, barnporr, upphovsrättsbrott, hets mot folkgrupp och olaga våldsskildring, som hen inte tagit bort inom (ca.) en vecka. Förtal, förolämpning och olaga hot är innehavaren av ”anslagstavlan” INTE automatiskt ansvarig för.

GDPR gäller, dvs du måste ha kontroll på att du har uppgifterna i ett register. Du behöver funderat på hur länge som du skall spara uppgifterna och du ska bara använda dom till syftet som du hade när du samlade in dem. Du behöver dock inte kontakta personen (eftersom de själva har gett dig uppgifterna.

Du bör vid inlämningstillfället ha förberett en information som man kan läsa hur du resonerar kring hur du ska använda informationen som man ger.

Ja, om det innehåller personuppgifter

Ett samtycke enligt GDPR ska vara uttryckligt, välinformerat, frivilligt och dokumenterat. Tidigare har underförstådda samtycken godtagits

En bilaga till ett affärsavtal som beskriver vilka personuppgifter som leverantören hanterar och hur uppgifterna ska skyddas

Ja, GDPR bygger på att man skall behandla andras uppgifter med respekt. När det gäller information i mobilen förutsätter man att det ligger i personens intresse att finnas med i mobilen.

Svenska staten, pengarna går direkt in i svenska statsbudgeten.

Svenska staten, pengarna går direkt in i statsbudgeten.

GDPR stärker skyddet för dig som registrerad. Många av rättigheterna är saker som du redan har idag genom PuL. En nyhet är att du har rätt att kräva att dina uppgifter som du skapat eller generat kan porteras.

Dina rättigheter är enligt GDPR, länkarna hänvisar vidare till datainsplektionens hemsida för mer information.

Rätt till information
Rätt till rättelse
Rätt till radering (“rätten att bli bortglömd”)
Rätt till begränsning av behandling
Dataportabilitet
Rätt att göra invändningar
Automatiserat beslutsfattande, inbegripet profilering

Subsidiär lag är lag som vars bestämmelser inte ska tillämpas om det finns avvikande bestämmelse i annan lag eller förordning, vars bestämmelser då istället ska tillämpas.

En fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgifts‐ansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, exempelvis en tjänsteleverantör eller webbhotell. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.

En personuppgiftsansvarig är den som ensam eller

tillsammans med andra bestämmer ändamålen med och

medlen för behandlingen av personuppgifter.

Personuppgiftsansvarig är normalt den juridiska person

(till exempel aktiebolag, stiftelse eller förening) eller den

myndighet som behandlar personuppgifter i sin

verksamhet och som bestämmer vilka uppgifter som ska

behandlas och vad uppgifterna ska användas till.

De flesta bestämmelserna i personuppgiftslagen behöver inte

tillämpas när man behandlar personuppgifter i ostrukturerat

material, till exempel i löpande text.

Denna regel kallas oftast “missbruksregeln”. Om en behandling

av personuppgifter faller in under missbruksregeln är det enda

kravet på den personuppgiftsansvariga att materialet inte

kränker den personliga integriteten hos den registrerade (det

vill säga ett missbruk av uppgifterna, varav namnet) (5 a § PuL).

En säkerhetsincident som leder till oavsiktlig eller

olaglig förstöring, förlust eller ändring eller till

obehörigt röjande av eller obehörig åtkomst till de

personuppgifter som överförts, lagrats eller på annat

sätt behandlats

Enligt personuppgiftslagen är känsliga personuppgifter

sådana som avslöjar

• ras eller etniskt ursprung,

• politiska åsikter

• religiös eller filosofisk övertygelse

• medlemskap i fackförening

• personuppgifter som rör hälsa eller sexualliv.

• Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök

Tillkommande i Dataskyddsförordningen

• behandling av genetiska uppgifter, biometriska uppgifter för att entydigt

identifiera en fysisk person

• uppgifter om en fysisk persons sexuella läggning

Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed

som ett unionsorgan och ska ha ställning som juridisk person.

2. Styrelsen ska företrädas av sin ordförande.

3. Styrelsen ska bestå av chefen för en tillsynsmyndighet per

medlemsstat och av Europeiska datatillsynsmannen eller deras

respektive företrädare.

4. Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för

att övervaka tillämpningen av bestämmelserna i denna förordning ska

en gemensam företrädare utses i enlighet med den medlemsstatens

nationella rätt.

5. Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten

utan rösträtt. Kommissionen ska utse en egen företrädare. Styrelsens

ordförande ska underrätta kommissionen om styrelsens verksamhet.

6. I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen

endast ha rösträtt i fråga om beslut som rör principer och regler som är

tillämpliga på unionens institutioner, organ och byråer, och som i allt

väsentligt motsvarar dem i denna förordning.

En förordning är en typ av bindande unionsakt som kan antas

av Europeiska unionens institutioner. Förordningar utgör den

kraftfullaste typen av unionsakt, och används för att införa

enhetliga och direkt tillämpliga bestämmelser inom unionen.[1]

Förordningar har allmän giltighet och är till alla delar bindande

och direkt tillämpliga i alla medlemsstater.[2] De kan åberopas

inför en nationell domstol likt en nationell lag, utan krav på att

en medlemsstat har vidtagit några genomförandeåtgärder.

Huvudsyftet med en förordning är att fastställa enhetliga

bestämmelser. Alla förordningar måste ha en rättslig grund i

unionens fördrag. Förordningar som antas i enlighet med ett

lagstiftningsförfarande utgör lagstiftningsakter.[3] Om

Europeiska konstitutionen hade trätt i kraft skulle ”förordning”

ha ersatts med ”europeisk lag”.

Ett direktiv är en typ av bindande unionsakt som kan antas

av Europeiska unionens institutioner. Ett direktiv är bindande

för unionens medlemsstater med avseende på det resultat som

de ska uppnå, men överlåter åt de nationella myndigheterna att

bestämma tillvägagångssättet för genomförandet.[1] Till

skillnad från förordningar blir ett direktivs bestämmelser

bindande för andra fysiska eller juridiska personer först efter att

det harinförlivats i den nationella lagstiftningen.[2] Endast i

undantagsfall kan ett direktiv åberopas direkt inför en nationell

domstol likt en nationell lag eller en förordning.

Huvudsyftet med ett direktiv är att fastställa gemensamma mål

och krav på resultat, men att låta medlemsstaterna själva

bestämma form och tillvägagångssätt. Alla direktiv måste ha en

rättslig grund i unionens fördrag. Direktiv som antas i enlighet

med ett lagstiftningsförfarande utgör lagstiftningsakter.

Ska utses i vissa fall (motsvarande personuppgiftsombud i

personuppgiftslagen).

Skyldigheten att utse dataskyddsombud omfattar bland annat

offentliga myndigheter och organisationer vars verksamhet

involverar särskilt riskfylld behandling, som exempelvis

regelbunden och systematisk övervakning av registrerade i stor

skala eller omfattande behandling av känsliga personuppgifter.

En särskilt integritetskänslig behandling kan därför komma att

kräva att dataskyddsombud utses både hos den

personuppgiftsansvarige och hos personuppgiftsbiträdet.

Den person som utses måste ha tillräcklig kunskap om

dataskydd och få det stöd och de befogenheter som krävs för

att kunna utföra sitt uppdrag på ett effektivt och oberoende

sätt.

Ett personuppgiftsombud är en person – ofta en anställd

– som ser till att personuppgifter behandlas korrekt och

lagligt inom en verksamhet. Ombudet ska föra en

förteckning över register och annan behandling av

personuppgifter och hjälper registrerade att få felaktiga

uppgifter rättade.

Ett personuppgiftsombud kan representera flera

personuppgiftsansvariga.

Dataskydd och privatliv är mänskliga rättigheter som

balanserar makten över individers självständighet

mellan individer och organisationer

Med behandling menas allt man gör med

personuppgifter. Exempel på behandling av

personuppgifter är: insamling, registrering, lagring,

bearbetning och spridning.

En identifierad eller identifierbar fysisk person som

direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett

identifikationsnummer, en lokaliseringsuppgift eller

onlineidentifikatorer eller en eller flera faktorer som är

specifika för den fysiska personens fysiska, fysiologiska,

genetiska, psykiska, ekonomiska, kulturella eller sociala

identitet

varje upplysning som avser en identifierad eller

identifierbar fysisk person (nedan kallad en registrerad),

varvid en identifierbar fysisk person är en person som

direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett

identifikationsnummer, en lokaliseringsuppgift eller

onlineidentifikatorer eller en eller flera faktorer som är

specifika för den fysiska personens fysiska, fysiologiska,

genetiska, psykiska, ekonomiska, kulturella eller sociala

identitet

Dvs allt som direkt eller indirekt kan kopplas till en

levande människa

General data protection regulation. Det engelska

namnet på dataskyddsförordningen

EU har ett organ som kallas Artikel 29 gruppen som bereder och kommer med rekommendationer på hur man på ett gemensamt sätt skall tänka kring ett antal frågeställningar. Dessa betänkanden publiceras i medlemsländerna och det kommer ett antal av dessa under hösten 2017 och 2018. De finns att läsa på Datainspektionens hemsida:

http://www.datainspektionen.se/dataskyddsreformen/forberedelser/samarbete-inom-eu/

En personuppgiftsincident är en händelse som leder till att personuppgifter kommer i orätta händer, förloras eller uppdateras felaktigt.

Dataskyddsförordningens definition: “en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats“.

Pseudonymisering innebär att alla identifierande personuppgifter ersätts med icke-identifierande information. Exempelvis kan man lägga in “Test Testorsson” istället för ett riktigt namn. Adresser mm kan behandlas på liknande sätt.  Pseudonymisering används för att kunna behålla historisk information om sånt som ägt rum (försäljningar exempelvis), fast utan att behålla kopplingen till en individ. Detta är vanligt i tstmiljöer och liknande där man behöver korrekta kopplinar till data, men vill minska känsligheten på personuppgifterna.

Dataskyddsförordningens definition: “behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person“.

Med “profilering” menas i Dataskyddsförordningen “skiktning eller kategorisering av personer, baserad på de registrerades personuppgifter”. Man märker det i vardagen tex på ICA när du har personliga val som är anpassade helt till dina förutsättningar.

Dataskyddsförordningens definition: “varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”

Med “behandling” menas alla aktiviteter som man gör för att hantera personuppgifter. Det många av aktiviteterna man gör innehåller personuppgifter utför man ständigt olika behandlingar personuppgifter.

Dataskyddsförordningens definition: “en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

Ett personuppgiftsbiträde är en organisation eller person som behandlar personuppgifter för en personuppgiftsansvarigs räkning.

Dataskyddsförordningens definition: “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning“.

Den som bestämmer över personuppgiftsbehandlingen är personuppgiftsansvarig.

Dataskyddsförordningens definition: “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt“.

Allt som går att koppla till en enskild (levande) person är en personuppgift, oavsett om kopplingen är direkt eller indirekt.

Dataskyddsförordningens definition: “varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

De viktigaste rättigheterna för registrerade personer:

• rätt att få tillgång till sina personuppgifter
• rätt att få felaktiga uppgifter rättade
• rätt att få sina personuppgifter raderade
• rätt att invända mot att personuppgifterna används för direktmarknadsföring
• rätt att invända mot automatiserat beslutsfattande och profilering
• rätt att få ut personuppgifter i maskinläsbart format (dataportabilitet)
• rätt till begränsning av behandling av personuppgifter

De grundläggande principerna och individernas rättighet prioriteras i Dataskyddsförordningen. Om man som organisation inte kan uppfylla de registrerades rättigheter ovan ligger det till grund för de högre sanktionsbeloppen.

GDPR stärker skyddet för dig som registrerad. Många av rättigheterna är saker som du redan har idag genom PuL. En nyhet är att du har rätt att kräva att dina uppgifter som du skapat eller generat kan porteras.

Dina rättigheter är enligt GDPR, länkarna hänvisar vidare till datainsplektionens hemsida för mer information.

Rätt till information
Rätt till rättelse
Rätt till radering (“rätten att bli bortglömd”)
Rätt till begränsning av behandling
Dataportabilitet
Rätt att göra invändningar
Automatiserat beslutsfattande, inbegripet profilering

EU har ett organ som kallas Artikel 29 gruppen som bereder och kommer med rekommendationer på hur man på ett gemensamt sätt skall tänka kring ett antal frågeställningar. Dessa betänkanden publiceras i medlemsländerna och det kommer ett antal av dessa under hösten 2017 och 2018. De finns att läsa på Datainspektionens hemsida:

http://www.datainspektionen.se/dataskyddsreformen/forberedelser/samarbete-inom-eu/

Subsidiär lag är lag som vars bestämmelser inte ska tillämpas om det finns avvikande bestämmelse i annan lag eller förordning, vars bestämmelser då istället ska tillämpas.

En fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvarige, personuppgiftsbiträdet eller de personer som under den personuppgifts‐ansvariges eller personuppgiftsbiträdets direkta ansvar är behöriga att behandla personuppgifterna

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning, exempelvis en tjänsteleverantör eller webbhotell. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen.

En personuppgiftsansvarig är den som ensam eller

tillsammans med andra bestämmer ändamålen med och

medlen för behandlingen av personuppgifter.

Personuppgiftsansvarig är normalt den juridiska person

(till exempel aktiebolag, stiftelse eller förening) eller den

myndighet som behandlar personuppgifter i sin

verksamhet och som bestämmer vilka uppgifter som ska

behandlas och vad uppgifterna ska användas till.

De flesta bestämmelserna i personuppgiftslagen behöver inte

tillämpas när man behandlar personuppgifter i ostrukturerat

material, till exempel i löpande text.

Denna regel kallas oftast “missbruksregeln”. Om en behandling

av personuppgifter faller in under missbruksregeln är det enda

kravet på den personuppgiftsansvariga att materialet inte

kränker den personliga integriteten hos den registrerade (det

vill säga ett missbruk av uppgifterna, varav namnet) (5 a § PuL).

En säkerhetsincident som leder till oavsiktlig eller

olaglig förstöring, förlust eller ändring eller till

obehörigt röjande av eller obehörig åtkomst till de

personuppgifter som överförts, lagrats eller på annat

sätt behandlats

Enligt personuppgiftslagen är känsliga personuppgifter

sådana som avslöjar

• ras eller etniskt ursprung,

• politiska åsikter

• religiös eller filosofisk övertygelse

• medlemskap i fackförening

• personuppgifter som rör hälsa eller sexualliv.

• Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök

Tillkommande i Dataskyddsförordningen

• behandling av genetiska uppgifter, biometriska uppgifter för att entydigt

identifiera en fysisk person

• uppgifter om en fysisk persons sexuella läggning

Europeiska dataskyddsstyrelsen (nedan kallad styrelsen) inrättas härmed

som ett unionsorgan och ska ha ställning som juridisk person.

2. Styrelsen ska företrädas av sin ordförande.

3. Styrelsen ska bestå av chefen för en tillsynsmyndighet per

medlemsstat och av Europeiska datatillsynsmannen eller deras

respektive företrädare.

4. Om en medlemsstat har mer än en tillsynsmyndighet som ansvarar för

att övervaka tillämpningen av bestämmelserna i denna förordning ska

en gemensam företrädare utses i enlighet med den medlemsstatens

nationella rätt.

5. Kommissionen ska ha rätt att delta i styrelsens verksamhet och möten

utan rösträtt. Kommissionen ska utse en egen företrädare. Styrelsens

ordförande ska underrätta kommissionen om styrelsens verksamhet.

6. I de fall som avses i artikel 65 ska Europeiska datatillsynsmannen

endast ha rösträtt i fråga om beslut som rör principer och regler som är

tillämpliga på unionens institutioner, organ och byråer, och som i allt

väsentligt motsvarar dem i denna förordning.

En förordning är en typ av bindande unionsakt som kan antas

av Europeiska unionens institutioner. Förordningar utgör den

kraftfullaste typen av unionsakt, och används för att införa

enhetliga och direkt tillämpliga bestämmelser inom unionen.[1]

Förordningar har allmän giltighet och är till alla delar bindande

och direkt tillämpliga i alla medlemsstater.[2] De kan åberopas

inför en nationell domstol likt en nationell lag, utan krav på att

en medlemsstat har vidtagit några genomförandeåtgärder.

Huvudsyftet med en förordning är att fastställa enhetliga

bestämmelser. Alla förordningar måste ha en rättslig grund i

unionens fördrag. Förordningar som antas i enlighet med ett

lagstiftningsförfarande utgör lagstiftningsakter.[3] Om

Europeiska konstitutionen hade trätt i kraft skulle ”förordning”

ha ersatts med ”europeisk lag”.

Ett direktiv är en typ av bindande unionsakt som kan antas

av Europeiska unionens institutioner. Ett direktiv är bindande

för unionens medlemsstater med avseende på det resultat som

de ska uppnå, men överlåter åt de nationella myndigheterna att

bestämma tillvägagångssättet för genomförandet.[1] Till

skillnad från förordningar blir ett direktivs bestämmelser

bindande för andra fysiska eller juridiska personer först efter att

det harinförlivats i den nationella lagstiftningen.[2] Endast i

undantagsfall kan ett direktiv åberopas direkt inför en nationell

domstol likt en nationell lag eller en förordning.

Huvudsyftet med ett direktiv är att fastställa gemensamma mål

och krav på resultat, men att låta medlemsstaterna själva

bestämma form och tillvägagångssätt. Alla direktiv måste ha en

rättslig grund i unionens fördrag. Direktiv som antas i enlighet

med ett lagstiftningsförfarande utgör lagstiftningsakter.

Ska utses i vissa fall (motsvarande personuppgiftsombud i

personuppgiftslagen).

Skyldigheten att utse dataskyddsombud omfattar bland annat

offentliga myndigheter och organisationer vars verksamhet

involverar särskilt riskfylld behandling, som exempelvis

regelbunden och systematisk övervakning av registrerade i stor

skala eller omfattande behandling av känsliga personuppgifter.

En särskilt integritetskänslig behandling kan därför komma att

kräva att dataskyddsombud utses både hos den

personuppgiftsansvarige och hos personuppgiftsbiträdet.

Den person som utses måste ha tillräcklig kunskap om

dataskydd och få det stöd och de befogenheter som krävs för

att kunna utföra sitt uppdrag på ett effektivt och oberoende

sätt.

Ett personuppgiftsombud är en person – ofta en anställd

– som ser till att personuppgifter behandlas korrekt och

lagligt inom en verksamhet. Ombudet ska föra en

förteckning över register och annan behandling av

personuppgifter och hjälper registrerade att få felaktiga

uppgifter rättade.

Ett personuppgiftsombud kan representera flera

personuppgiftsansvariga.

Dataskydd och privatliv är mänskliga rättigheter som

balanserar makten över individers självständighet

mellan individer och organisationer

Med behandling menas allt man gör med

personuppgifter. Exempel på behandling av

personuppgifter är: insamling, registrering, lagring,

bearbetning och spridning.

En identifierad eller identifierbar fysisk person som

direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett

identifikationsnummer, en lokaliseringsuppgift eller

onlineidentifikatorer eller en eller flera faktorer som är

specifika för den fysiska personens fysiska, fysiologiska,

genetiska, psykiska, ekonomiska, kulturella eller sociala

identitet

varje upplysning som avser en identifierad eller

identifierbar fysisk person (nedan kallad en registrerad),

varvid en identifierbar fysisk person är en person som

direkt eller indirekt kan identifieras särskilt med

hänvisning till en identifierare som ett namn, ett

identifikationsnummer, en lokaliseringsuppgift eller

onlineidentifikatorer eller en eller flera faktorer som är

specifika för den fysiska personens fysiska, fysiologiska,

genetiska, psykiska, ekonomiska, kulturella eller sociala

identitet

Dvs allt som direkt eller indirekt kan kopplas till en

levande människa

General data protection regulation. Det engelska

namnet på dataskyddsförordningen

En personuppgiftsincident är en händelse som leder till att personuppgifter kommer i orätta händer, förloras eller uppdateras felaktigt.

Dataskyddsförordningens definition: “en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats“.

Pseudonymisering innebär att alla identifierande personuppgifter ersätts med icke-identifierande information. Exempelvis kan man lägga in “Test Testorsson” istället för ett riktigt namn. Adresser mm kan behandlas på liknande sätt.  Pseudonymisering används för att kunna behålla historisk information om sånt som ägt rum (försäljningar exempelvis), fast utan att behålla kopplingen till en individ. Detta är vanligt i tstmiljöer och liknande där man behöver korrekta kopplinar till data, men vill minska känsligheten på personuppgifterna.

Dataskyddsförordningens definition: “behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person“.

Med “profilering” menas i Dataskyddsförordningen “skiktning eller kategorisering av personer, baserad på de registrerades personuppgifter”. Man märker det i vardagen tex på ICA när du har personliga val som är anpassade helt till dina förutsättningar.

Dataskyddsförordningens definition: “varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”

Med “behandling” menas alla aktiviteter som man gör för att hantera personuppgifter. Det många av aktiviteterna man gör innehåller personuppgifter utför man ständigt olika behandlingar personuppgifter.

Dataskyddsförordningens definition: “en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

Ett personuppgiftsbiträde är en organisation eller person som behandlar personuppgifter för en personuppgiftsansvarigs räkning.

Dataskyddsförordningens definition: “en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning“.

Kan man vara anonym på nätet? Många tror idag att om man surfar in på en webbsida utan att vara inloggad att man har någon form av anonymitet. I dagsläget är det inte en sanning om man lägger samman alla olika komplexa sätt som man blir spårad på nätet.

Det finns olika tekniker för webbplatser att hålla reda på vilken trafik som besöker dem. En stor del av webbplatserna på nätet använder Google Analytics, vilket är en gratis tjänst för webbplatsägarna som ger dem ett bra underlag på vilka som har besökt sidan. Denna fungerar genom att lägga en cookie på din dator för att spåra hur länge som du varit inne på sidan samt vilka sidor som du besökt. En stor fördel i detta fallet är att inga personuppgifter skickas till webplatsägaren från Google. Webplatsägaren kan se statistik på siten. GDPR.se använder Google Analytics. Vi är medvetna att er aktivitet kommer att aggregeras i Googles databas. Men enligt deras dataskyddspolicy lagras inga personuppgifter utan enbart statistik kring olika kategorier av besökare på webbplatsen.

Det finns även en ökande trend inom marknadsföring som få användare är medvetna om att du som individ kan bli igenkänd på en webbplats utan att logga in. Detta kan ske genom att någon lagt in en cookie på din dator i syfte att spåra just din trafik på deras hemsida. Ett typiskt exempel är att man fått ett nyhetsbrev vilken innehåller en bild ( vilken ibland kan vara 1 pixel stor), denna gör att en cookie skapas som kan knytas till dig som individ.  Går du sen in på den webbplatsen som den som sände ut nyhetsbrevet kommer ifrån vet de exakt vilken användare som har besökt deras hemsida!

Generellt brukar man säga att VPN, Virtual Private Network, är det bästa sättet att vara anonym på nätet. En VPN uppkoppling fungerar genom att du ansluter till en kopplingspunkt och tunnlar vidare genom en säker kanal och surfar från en annan plats än där du sitter egentligen. Eftersom du kan ställa in VPN tunneln att du har annorlunda uppkopplingsparametrar varje gång har du möjligheten att surfa med anonymitet. Men, har du kakor eller tex om din dator är smittad av virus sedan tidigare är det inte säkert att du är anonym, trots att du använder dig av VPN

Svaret på Quizfrågan är

VPN

Men kom ihåg; Det är svårt att garantera anonymitet på nätet. Utgå alltid från att om någon vill följa dig så kommer de att ha möjligheten till det.

Hur bolag använder det material som användare laddar upp ska regleras i avtalet mellan parterna. I fallet med Facebook så står svaret i avtalet som man klickar förbi när man skapar kontot.  Detta avtal har antagligen ändrats ett antal gånger sedan du skapade kontot.

Tidigt i Facebooks historia hade de rätt att använda alla bilder som lades upp helt i sina egna syften, detta har man dock ändrat på senare tid. Dock finns det mycket värde i att analysera innehållet i bilderna som läggs upp och det metadata som finns i bilderna.  Tittar man i kontraktet i som gäller nu (aug 2018) står följande:

ddd ddd ddd

d

I samband med GDPR finns även skrivelser att informationen om vad organisationerna gör med den data som de samlar in skall vara lättillgängligt. Detta kan fortfarande diskuteras om vi har nått dit.

I quizuppgiften är rätt svar:

• Ja, Facebook använder uppgifterna till profilering av ansikten…

BankID bedrägerierna ökar, om det händer dig, har du någon rätt att få tillbaka pengarna?

Generellt sätt är svaret på frågan att du står ansvarig om du själv uppgett ditt lösenord eller blivit lurad att godkänna ett bankID. Men senare fall i domstolar har gett individer rätt (länk) där banken tvingats ge ersättning till individen. Man kan dock se en trend att bankerna kommer att bli allt hårdare på denna fråga desto vanligare denna typ av bedrägeri blir.

I quizet ger alternativet

“Ja, jag får stå mitt kast” fullt rätt

“Ja, banken ersätter min förlust” 1/2 rätt på grund av ovanstående rättsfall

“Ja, försäkringsbolaget ersätter” 0 poäng

Privacy by design kan översättas med Inbyggd integritet och innebär i korthet att system ska designas för att:

• samla in så få uppgifter som möjligt
• så få användare som möjligt ska ha tillgång till personuppgifter
• uppgifter ska kunna skyddas under hela sin livscykel

Datainspektionen har en publikation kring inbyggd säkerhet med rekommendationer hur man går tillväga:

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inbyggd-integritet-privacy-by-design/

Du måste utse ett formellt dataskyddsombud om:

• personuppgiftsbehandlingen utförs av en myndighet eller ett offentligt organ (dock ej domstolar i deras dömande verksamhet)
• den ansvariges eller biträdets kärnverksamhet består av personuppgiftsbehandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning eller
• den ansvariges eller biträdets kärnverksamhet består av behandling i stor omfattning av så kallade känsliga personuppgifter eller brottsuppgifter.

Du kan utse ett dataskyddsombud även om Dataskyddsförordningen inte kräver det av dig och din organisation, men tänk på att ett formellt dataskyddsombud har ett särskilt anställningsskydd i frågor som gäller rollen som dataskyddsombud. (Detta regleras i Dataskyddsförordningens artikel 38.)

Datainspektionen har följande rekommendationer kring dataskyddsombud:

http://www.datainspektionen.se/fragor-och-svar/eus-dataskyddsreform/dataskyddsombud/