GDPR Hero’s frågebank

Enligt GDPR krävs det att en personuppgiftsansvarig har laglig grund och syfte med all personuppgiftsbehandling. Om en arbetsgivare får in en begäran från arbetstagarorganisation kan de stödja sig på 22§ lag (1999:678) om utstationering av arbetstagare för att överlämna begärda uppgifter. Däremot bör de självständigt göra en bedömning av om samtliga begärda uppgifter är nödvändiga (trots att det...

Vår tolkning är att det inte handlar om en situation där leverantören kan agera personuppgiftsbiträde, vilket således inte föranleder krav på personuppgiftsbiträdesavtal ("PuB-avtal"). Det är viktigt att utreda vem eller vilka parter som är personuppgiftsansvarig för de uppgifter som ingår i personalliggaren, för att veta vem som har rätt att ta beslut angående hantering av dessa personuppgifter...

När ni inte längre har ett behov (syfte) med att hantera uppgifterna, kan man enkelt säga. Det betyder att när ni inte längre kan motivera och förklara varför ni har informationen behöver ni rensa ut uppgifterna. En annan anledning till att uppgifter behöver rensas ut är om den rättsliga grund som ni stödjer behandlingen på inte längre är aktuellt, exempelvis om någon återkallar sitt samtycke,...

Svaret på frågan om sådant som slängs i pappersåtervinningen och papperskorgen omfattas av GDPR är ja. All hantering av personuppgifter är en del av en behandling till dess att personuppgifterna är slutligt raderade/utplånade. För att vara på den säkra sidan bör således papper och dokument i fysisk form strimlas/eldas upp innan de exempelvis slängs i en papperskorg. Rör det däremot harmlösa...

Enligt artikel 17 GDPR har individer rätt att begära radering av sina personuppgifter. Den rättigheten gäller dock inte för all hantering av personuppgifter, utan är begränsad till viss hantering. Enklare förklarat är att en organisation kan inte ta bort en individs personuppgifter så länge de behövs för att exempelvis tillhandahålla avtalad tjänst eller uppfylla sina rättsliga förpliktelser....

När det gäller banker är de organisationerna speciella i den bemärkelsen att de lyder under sektorsspecifik lagstiftning och myndighetsföreskrifter och beslut som direkt eller indirekt pekar ut att banken (verksamhetsutövaren) är personuppgiftsansvarig. Exv. lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Med anledning av att banker är bundna av sådan lagstiftning...

Fråga: Vad ska jag lämna ut om någon begär ett registerutdrag? Ska jag lämna ut hela mail? Svar: Till att börja med är det viktigt att agera i tid och absolut senast inom en månad vid en begäran från en registrerad. Vid en begäran är det bra att säkerställa identiteten på den som begär registerutdraget för att se till att utdraget hamnar hos rätt person. När den registrerades identitet ska...

Fråga: En anställd hos vår kund kommer att fylla i ett beställningsformulär på vår webbplats. Beställningen ska då signeras med BankID. Kan man i samma ”köpeavtal” lägga med text om hantering av personuppgifter så att när beställaren signerar med BankID så ger de även sitt samtycke? Problemet med samtycke är att det måste vara frivilligt för att gälla (alltså att det ska gå att beställa utan att...

Fråga: Vi funderar på att göra bakgrundskontroller via en extern partner. Behöver vi en samtyckesblankett trots att vi informerar om detta vid annonsering och intervju? Utgångspunkten för all behandling av personuppgifter är att det krävs en laglig grund. GDPR anger en uttömmande lista om sex olika lagliga grunder (artikel 6). Att inhämta bakgrundskontroller är en enskild...

Fråga: Hur gör man med digital bokföring som finns i SPCS Administration som är äldre än 7 år? Skall de också raderas eller är de bara papperskopior? Om ni stödjer er behandling av personuppgifter som förekommer i bokföringen på den rättsliga förpliktelsen som finns i bokföringslagen, då gäller skyldigheten att ta bort personuppgifterna efter 7 år både i fysisk och digital form, under...

Fråga: Vi vill ta bilder på våra medarbetare för att sätta upp på kontoret. Där ska framgå namn och funktion, och var och en blir upplyst om syftet vid fotograferingen. Vad säger lagen om printade fotografier i kontorsytan? GDPR reglerar inte bilder/foton på något särskit sätt, utan för att besvara din fråga utgår vi från den grundläggande metoden i GDPR. För att en behandling ska vara tillåten...