Samtycke får inte vara passivt eller ofrivilligt
Ett inhämtat samtycke får inte vara passivt eller ofrivilligt lämnat. Det måste också vara enkelt att återkalla samtycket enligt GDPR.
Fakta och vanliga frågor om GDPR
Vi har samlat fakta och vanliga frågor om GDPR (dataskyddsförordningen) som kan vara bra att känna till som företagare. GDPR började gälla i EU och EES-länderna den 25 maj 2018 och i Sverige ersatte GDPR personuppgiftslagen. Det är ett relativt omfattande regelverk som berör de företag, organisationer och offentliga organ som behandlar personuppgifter.
Exempel på personuppgifter är namn, personnummer, men även sådana som går att koppla till en person genom en bakvägsidentifikation. Dessutom skiljer GDPR på känsliga, integritetskänsliga och vanliga personuppgifter, vilket är bra att känna till. Det finns flera saker som företag måste hålla reda på samt göra för att följa regelverket. Exempelvis måste företag ha en rättslig grund för att behandla personuppgifter, ha vissa avtal och dokument och följa dataskyddsprinciperna m.m.
Företag måste kunna visa att de följer GDPR
Företag måste kunna visa att de följer GDPR, vilket framgår av principen om ansvarsskyldighet som är en grundläggande dataskyddsprincip.
Företag måste ha särskilda ändamål vid personuppgiftsbehandling
Företag måste ha särskilda ändamål vid personuppgiftsbehandling. Dessutom ska ändamålet vara uttryckligt angivet och berättigat.
Skola fick inte använda ansiktsigenkänning för närvarokontroll
En skola fick inte använda ansiktsigenkänning för närvarokontroll och blev tilldelade en sanktionsavgift på 200 000 kr.
Raderade inte personuppgifter i tid och lämnade felaktig information
Ett företag raderade inte personuppgifter i tid och lämnade felaktig information om att de hade raderat uppgifterna när det inte hade skett.
Underlättade inte utövandet av den registrerades rättigheter
Ett företag underlättade inte utövandet av den registrerades rättigheter. Företaget fick därför en reprimand.
Skickade känsliga personuppgifter via e-post
Regionsstyrelsen i Region Uppsala skickade känsliga personuppgifter via e-post samt personnummer och informationen var inte krypterad.
Samtal med känsliga personuppgifter låg oskyddade på internet
Inspelade samtal med känsliga personuppgifter låg oskyddade på internet. Det gällde miljoner samtal till rådgivningsnumret 1177.
Rätt att begära ytterligare bevisning om identiteten
Ett företag hade rätt att begära ytterligare bevisning om identiteten hos en registrerad som begärt att få sina personuppgifter raderade.
Reprimand för att inte ha uppfyllt informationskravet
Ett företag fick en reprimand för att inte ha uppfyllt informationskravet när en tidigare kund begärt att få kortuppgifter raderade