Välkommen till Sveriges största GDPR-blogg
Vill du få en notis när nästa blogginlägg publiceras? →
Telefonförsäljning & GDPR
Vi har i ett tidigare blogginlägg tittat närmare på då ett företag köper kontaktuppgifter och marknadsför sig till företag. I detta blogginlägg ska vi gå igenom hur personuppgifter får användas vid telefonförsäljning mot privatpersoner. Vi kommer utöver GDPR beröra...
Hur ska vi tänka kring skyddade personuppgifter?
I Sverige lever cirka 27 000 personer med skyddade personuppgifter, på grund av att de riskerar att utsättas för något typ av hot eller våld. Det är därför viktigt att hantera skyddade personuppgifter extra varsamt. Vi får ofta frågor om hur man ska tänka kring...
Vad är viktigt att tänka på när vi köper kontaktuppgifter?
Det är vanligt att företag köper in kontaktuppgifter till företagsrepresentanter för att använda i sin marknadsföring, eftersom det kan vara ett effektivt sätt att nå ut till många potentiella kunder. Kontaktuppgifter och annan information kan köpas av olika...
Hur skriver man en cookiepolicy?
I ett tidigare inlägg gick vi översiktligt igenom vad en s.k. ”cookie” är och vad man ska tänka på vid användning av cookies på sin webbsida. För att på bästa sätt hänga med i detta blogginlägg läser du med fördel det inlägget först. Här kommer vi att gå igenom hur...
Sociala medier och GDPR
Sociala medier används ofta till riktad marknadsföring. Detta väcker frågor om vem som är personuppgiftsansvarig för de olika inblandade databehandlingarna, och om det är möjligt att undvika ansvar. Typiskt sett är nämligen flera aktörer involverade. I detta...
Har du kontroll över din virtuella identitet?
Att samla in dina personuppgifter och dela dem vidare med tredje part är en viktig del av affärsmodellen hos många företag (till exempel leverantörer av sociala medier och leverantörer av email-tjänster). De använder sig av personuppgifterna i din offentliga profil...
Visselblåsning – vanliga frågor
En ny visselblåsarlag, lag (2021:890) om skydd för personer som rapporterar om missförhållanden, började gälla den 17 december 2021. Enligt lagen ska man kunna larma om missförhållanden både på en arbetsplats och till en myndighet. Lagen gäller, från 17 juni 2022,...
Varför måste vi föra register över behandlingar? Hur kan vi använda registret till vår fördel?
I artikel 30 GDPR finns ett uttryckligt krav på att organisationer ska föra register över sina personuppgiftsbehandlingar. Ett vanligt missförstånd är att det är ett nödvändigt ont att föra register. Följande inlägg ska utreda varför ni som organisation måste föra...
Vad gäller uppgifter om anställdas fackliga medlemskap på arbetsplatsen?
Sett internationellt tillhör Sverige ett av de länder med högst facklig organisationsgrad i världen. Under coronapandemin har det fackliga medlemsantalet ökat än mer och år 2020 var ca 70 procent av de anställda i Sverige fackligt...
Är matpreferens en känslig uppgift? Krävs det i så fall samtycke för behandling av en matpreferens?
GDPR syftar till att skydda personuppgifter och reglera hur uppgifterna får behandlas. Artikel 9.1 i GDPR berör behandling av en särskild kategori av personuppgifter och sätter upp ett förbud för att behandla dessa om inte några av tillhörande undantag är...
Hushållsundantaget, när gäller GDPR för privatpersoners behandling av personuppgifter?
GDPR:s tillämpningsområde omfattar enligt artikel 2.2c inte privatpersoners behandling av personuppgifter när sådan utförs som ett led i verksamhet av rent privat natur eller som har samband med personens hushåll. Undantaget benämns i vardagligt tal...
Vilka behandlingar kräver en konsekvensbedömning?
En konsekvensbedömning har till syfte att förebygga risker som en behandling av personuppgifter kan innebära genom att minimera risker vid behandlingar som innebär en hög risk, för att skydda människors fri- och rättigheter. Detta blogginlägg syftar till att...
Vad ska man tänka på vid användning av cookies?
Post- och telestyrelsen (”PTS”) inledde 7 oktober 2022 tillsyn mot fyra organisationer (Swedbank, Folkhälsomyndigheten, Tele2 och Konsumentverket) gällande deras användning av cookies. PTS har begärt in omfattande information från tillsynsobjekten och med anledning...
När behöver vi göra en konsekvensbedömning?
En konsekvensbedömning har till syfte att förebygga risker. Målet med bedömningen är att skydda människors fri- och rättigheter och minimera risker vid sådana behandlingar av personuppgifter som innebär en hög risk. Detta blogginlägg syftar till att utreda när en...
1177-incidenten – vad hände?
Under 2019 blev sjukvårdsrådgivningstjänsten 1177 mycket uppmärksammad efter att det framkommit information att inspelade samtal funnits tillgängliga för alla att komma åt via nätet. IMY inledde därför en granskning av aktörer kopplade till händelsen. Det visade...
Digitala vaccinationsbevis
EU-kommissionen presenterade ett förslag på lagstiftning om covidbevis i våras. Förordningen antogs sedan, efter vissa justeringar, av Parlamentet och Rådet den 14 juni. Med anledning av denna nya lagstiftning utreder vi i detta blogginlägg: Hur uppfyller de...
Utgör IP-nummer en personuppgift?
Personuppgift är ett mycket vitt begrepp i GDPR och omfattar all information som kan identifiera en person. Gränsdragningen mellan personuppgifter och anonyma uppgifter är inte alltid helt tydlig. Frågan om huruvida IP-adresser utgör personuppgifter har behandlats...
Allt du behöver veta om tillsyn enligt GDPR
I början av 2021 uppmärksammade vi den stora sanktionsavgift som Integritetsskyddsmyndigheten (IMY) utfärdade mot Google på hisnande 75 000 000 kr. Det var dock inte den enda sanktionsavgift som myndigheten utfärdade under 2020. IMY, Sveriges tillsynsmyndighet för...
Vad gäller vid kamerabevakning?
När är det tillåtet att använda sig av kamerabevakning och vad ska man tänka på för att bevakningen ska vara laglig? Kamerabevakning sker genom att övervaka platser med hjälp av bevakningskameror. Det innebär att personuppgifter samlas in och därför utgör...
När är det okej att behandla känsliga personuppgifter?
Utgångspunkten är att känsliga personuppgifter är förbjudna att behandla enligt artikel 9 GDPR. Regeln innehåller dock flera undantag som gör det okej att i vissa situationer behandla känsliga personuppgifter. Publicerad 6 augusti 2021 Behandling av...
Rätten till radering – vanliga missuppfattningar
En vanlig missuppfattning gällande rätten till radering i artikel 17 GDPR är att det är en absolut rättighet att få bli raderad vid en begäran. Så är inte i praktiken utan det finns dock många undantag som kan bli aktuella gällande denna rättighet, vilka är viktiga...
Vad innebär egentligen rätten att göra invändningar?
Den registrerade har en rad rättigheter som är viktiga att ha koll på. En av dessa är rätten för den registrerade att göra invändningar. Här nedan utreds vad som är viktigt att tänka på vid denna rättighet. Publicerad 2 juni 2021 Den registrerades...
När har jag rätt att samla in personuppgifter?
För att samla in personuppgifter krävs lagstöd, vilket regleras i artikel 6 GDPR och kallas även ibland för rättslig grund. Det finns sex olika rättsliga grunder att luta sig mot och om rättslig grund saknas är det olagligt att behandla personuppgifterna. Nedan...
Hur skriver man en personuppgiftspolicy?
En av de grundläggande principerna i GDPR är principen om öppenhet, vilken bland annat innebär ett krav på att registrerade får tillgång till information vid personuppgiftsbehandlingen i lättillgängligt format, kommunicerat på...
Vad är en personuppgiftsbehandling?
Som bekant gäller GDPR vid all behandling av personuppgifter. Åtgärder som exempelvis insamling, lagring och bearbetning av personuppgifter innebär att uppgifter hanteras på olika sätt. Att personuppgifterna behandlas på flera olika sätt innebär dock inte...
Domstolsavgörande – sanktionsavgift mot Google
Integritetsskyddsmyndigheten, dåvarande Datainspektionen, beslutade den 3 mars 2020 att utfärda en sanktionsavgift mot Google LLC. Sanktionsavgiftens belopp var stort – 75 000 000 kr. Google LLC överklagade beslutet till Förvaltningsrätten i Stockholm, som den 23...
Tydliggörande gällande gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden
En viktig del av GDPR är att kunna avgöra om verksamheten är personuppgiftsansvarig eller personuppgiftsbiträde för en viss personuppgiftsbehandling. I visa fall kan en verksamhet till och med vara gemensamt personuppgiftsansvarig med en annan verksamhet. Vi har...
Kan vi samla in personuppgifter om medlemmars anhöriga?
Vi får många frågor om just anhöriguppgifter. Anhöriguppgifter kan samlas in i olika sammanhang. Framförallt tänker kanske de flesta på anhöriguppgifter till anställda, men även för medlemmar i företag, föreningar och organisationer kan det finnas en mening med att...
Hur ni kan behandla känsliga personuppgifter lagligt
I GDPR finns det olika regler för olika typer av personuppgifter som är viktiga att känna till. De personuppgifter som bedömts som känsliga förtjänar enligt GDPR ett extra skydd. Hur det extra skyddet ter sig kommer vi gå igenom i detta blogginlägg. ...
Personuppgifter och covid-19
I och med den globala pandemin vi befinner oss i, behöver vi såklart bete oss på annat sätt än vad vi är vana vid. Men vad betyder det egentligen i förhållande till GDPR? Nya situationer kan skapa nya funderingar gällande insamling av personuppgifter, exempelvis...
Schrems II – Privacy Shield ogiltigförklarad – Överföring till USA
Den 16 juli kom domen från EU-domstolen i det intressanta målet C-311/18 Data Protection Commissioner mot Facebook Ireland Ltd (Facebook Ireland) och Maximillian Schrems. I detta blogginlägg kommer vi gå igenom de viktigaste delarna av domen. Om du skulle vara...
Sekretess och rätten till tillgång
De flesta vet att det i GDPR finns en skyldighet för verksamheter lämna ut vilka personuppgifter de behandlar om en person om någon begär ut sina personuppgifter. Denna skyldighet gäller för myndigheter, företag och organisationer. Det är dock viktigt att komma...
När är GDPR tillämplig?
Nu när GDPR varit i kraft i två år och många börjat fördjupa sig i specifika delar av förordningen är det enkelt att glömma de grundläggande delarna såsom: är GDPR tillämplig i denna situationen? Vi kommer därför i detta blogginlägg ge en påminnelse om när GDPR är...
GDPR inom hälso- och sjukvården
GDPR gäller för de flesta verksamheter, även hälso- och sjukvården. När det kommer till hälso- och sjukvården är det dock inte bara GDPR som reglerar hur personuppgiftshanteringen ska gå till. Inom detta område finns det flera speciallagar att ta hänsyn till. Vi...
Ska vi anmäla alla personuppgiftincidenter?
Personuppgiftsincident är ett vanligt ord sedan GDPR trädde i kraft för snart två år sedan. Det är viktigt att ha grundläggande kunskap kring personuppgiftincidenter samt rutiner för att kunna hantera en eventuell incident. Tyvärr cirkulerar det mycket felaktig...
Olika vägar till ansvar för personuppgiftshantering
Den personliga integriteten anses skyddsvärd. Det är svårt att definiera vad den personliga integriteten är, men det omfattar privat information om en person och dennes privatliv. Dessa uppgifter ska skyddas från angrepp utifrån. Men hur skyddas den personliga...
Gällande C-311:18: uppdatering av fallet med förslag till avgörande av generaladvokaten
I det här intressanta fallet, som vi tidigare skrivit om i det här blogginlägget, gavs det ett förslag till avgörande av generaladvokaten Henrik Saugmandsgaard Øe den 19 december 2019. I det här blogginlägget kommer vi behandla de mest intressanta aspekterna av...
Integritetsskyddsmyndighetens årsrapport
Det är nog ingen som missat att Integritetsskyddsmyndigheten är tillsynsmyndighet över GDPR i Sverige. Det innebär att det är Integritetsskyddsmyndigheten som ansvarar för att svenska företag, organisationer och offentliga verksamheter följer GDPR och andra lagar...
När är vi personuppgiftsbiträde?
När är egentligen vår verksamhet personuppgiftsansvarig respektive personuppgiftsbiträde? Det är två långa begrepp som kan vara svåra att förstå sig på ibland, men även mycket viktigt att få grepp om. Vi på GDPR Hero får många frågor gällande denna bedömning,...
Hur ska personnummer hanteras enligt GDPR?
Ett personnummer anses utgöra en personuppgift, vilket gör att personuppgiften ska hanteras i enlighet med GDPR och annan kompletterande lagstiftning i nationell rätt. Hantering av personnummer kan förekomma på olika sätt. De kan behandlas exempelvis i mail,...