Välkommen till Sverige största GDPR blogg!

Den registrerade har en rad rättigheter som är viktiga att ha koll på. En av dessa är rätten för den registrerade att göra invändningar. Här nedan utreds vad som är viktigt att tänka på vid denna rättighet.   Publicerad den 2 juni 2021    Den...

För att samla in personuppgifter krävs lagstöd, vilket regleras i artikel 6 GDPR och kallas även ibland för rättslig grund. Det finns sex olika rättsliga grunder att luta sig mot och om rättslig grund saknas är det olagligt att behandla personuppgifterna. Nedan...

En av de grundläggande principerna i GDPR är principen om öppenhet, vilken bland annat innebär ett krav på att registrerade får tillgång till information vid personuppgiftsbehandlingen i lättillgängligt format, kommunicerat på...

Som bekant gäller GDPR vid all behandling av personuppgifter. Åtgärder som exempelvis insamling, lagring och bearbetning av personuppgifter innebär att uppgifter hanteras på olika sätt. Att personuppgifterna behandlas på flera olika sätt innebär dock inte...

Datainspektionen beslutade den 3 mars 2020 att utfärda en sanktionsavgift mot Google LLC. Sanktionsavgiftens belopp var stort – 75 000 000 kr. Google LLC överklagade beslutet till Förvaltningsrätten i Stockholm, som nu meddelat dom. Nedan följer en genomgång av de...

En viktig del av GDPR är att kunna avgöra om verksamheten är personuppgiftsansvarig eller personuppgiftsbiträde för en viss personuppgiftsbehandling. I visa fall kan en verksamhet till och med vara gemensamt personuppgiftsansvarig med en annan verksamhet. Vi har...

Vi får många frågor om just anhöriguppgifter. Anhöriguppgifter kan samlas in i olika sammanhang. Framförallt tänker kanske de flesta på anhöriguppgifter till anställda, men även för medlemmar i företag, föreningar och organisationer kan det finnas en mening med att...

I GDPR finns det olika regler för olika typer av personuppgifter som är viktiga att känna till. De personuppgifter som bedömts som känsliga förtjänar enligt GDPR ett extra skydd. Hur det extra skyddet ter sig kommer vi gå igenom i detta blogginlägg.  ...

I och med den globala pandemin vi befinner oss i, behöver vi såklart bete oss på annat sätt än vad vi är vana vid. Men vad betyder det egentligen i förhållande till GDPR? Nya situationer kan skapa nya funderingar gällande insamling av personuppgifter, exempelvis...

Den 16 juli kom domen från EU-domstolen i det intressanta målet C-311/18 Data Protection Commissioner mot Facebook Ireland Ltd (Facebook Ireland) och Maximillian Schrems. I detta blogginlägg kommer vi gå igenom de viktigaste delarna av domen. Om du skulle vara...

De flesta vet att det i GDPR finns en skyldighet för verksamheter lämna ut vilka personuppgifter de behandlar om en person om någon begär ut sina personuppgifter. Denna skyldighet gäller för myndigheter, företag och organisationer. Det är dock viktigt att komma...

Nu när GDPR varit i kraft i två år och många börjat fördjupa sig i specifika delar av förordningen är det enkelt att glömma de grundläggande delarna såsom: är GDPR tillämplig i denna situationen? Vi kommer därför i detta blogginlägg ge en påminnelse om när GDPR är...

GDPR gäller för de flesta verksamheter, även hälso- och sjukvården. När det kommer till hälso- och sjukvården är det dock inte bara GDPR som reglerar hur personuppgiftshanteringen ska gå till. Inom detta område finns det flera speciallagar att ta hänsyn till. Vi...

Personuppgiftsincident är ett vanligt ord sedan GDPR trädde i kraft för snart två år sedan. Det är viktigt att ha grundläggande kunskap kring personuppgiftincidenter samt rutiner för att kunna hantera en eventuell incident. Tyvärr cirkulerar det mycket felaktig...

Den personliga integriteten anses skyddsvärd. Det är svårt att definiera vad den personliga integriteten är, men det omfattar privat information om en person och dennes privatliv. Dessa uppgifter ska skyddas från angrepp utifrån. Men hur skyddas den personliga...

I det här intressanta fallet, som vi tidigare skrivit om i det här blogginlägget, gavs det ett förslag till avgörande av generaladvokaten Henrik Saugmandsgaard Øe den 19 december 2019. I det här blogginlägget kommer vi behandla de mest intressanta aspekterna av...

Det är nog ingen som missat att Datainspektionen är tillsynsmyndighet över GDPR i Sverige. Det innebär att det är Datainspektionen som ansvarar för att svenska företag, organisationer och offentliga verksamheter följer GDPR och andra lagar på dataskyddsområdet....

När är egentligen vår verksamhet personuppgiftsansvarig respektive personuppgiftsbiträde? Det är två långa begrepp som kan vara svåra att förstå sig på ibland, men även mycket viktigt att få grepp om. Vi på GDPR Hero får många frågor gällande denna bedömning,...

Ett personnummer anses utgöra en personuppgift, vilket gör att personuppgiften ska hanteras i enlighet med GDPR och annan kompletterande lagstiftning i nationell rätt. Hantering av personnummer kan förekomma på olika sätt. De kan behandlas exempelvis i mail,...

Enligt GDPR är det den som är personuppgiftsansvarig eller personuppgiftsbiträde som kan vara skadeståndsansvariga om regelverket inte efterlevs. Detta är oftast en juridisk person. I detta blogginlägg undersöker vi om det enbart är dessa två aktörer som kan bli...

Det pågående målet, C-311/18 Facebook Irland och Schrems, är ett väldigt intressant mål ur dataskydds- och massövervakningshänseende när personuppgifter förs över från EU till USA. I det här blogginlägget tittar vi närmare på målet och förklarar de viktigaste...

Många av våra läsare har säkert uppmärksammat att Datainspektionens arbete verkar vara i full gång. Just nu kommunicerar Datainspektionen många nyheter i form av genomförda tillsyner. Men vad är en tillsyn och vad kan en tillsyn leda till?   Vad är en tillsyn?...

Vintern närmar sig och ni bjuder in era anställda till en företagsfest för att fira den kommande ledigheten. Givetvis vill ni föreviga detta genom fotografier och filmer som sedan läggs ut på er hemsida och diverse sociala medier. Är detta tillåtet enligt GDPR? I...

En vanlig fråga vi får är hur länge en personuppgiftsansvarig får spara personuppgifter. Det går inte att ange en bestämd tidsgräns för all form av personuppgiftsbehandling. Därför kommer vi i detta blogginlägg gå igenom olika riktmärken och tips för att ni ska...

Fortfarande får vi många frågor om när det är lagligt att behandla personuppgifter och om företag måste inhämta samtycke för att få behandla personuppgifter. Vi kommer därför i detta blogginlägg beskriva de sex rättsliga grunder det finns för att få behandla...

Inom skol- och förskoleverksamhet behandlas ofta ett stort antal personuppgifter, oavsett om skolan eller förskolan drivs i privat eller offentlig regi. Skolor och förskolor behandlar dessutom många känsliga personuppgifter, som anses extra skyddsvärda. Vad gäller...

Många tar semesterledigt och slappnar av under sommaren men juridikens utveckling stannar aldrig av. GDPR Hero har sammanställt tre av de viktigaste händelserna under sommaren som ni bör ha koll på gällande Datainspektionens arbete med GDPR och den utveckling som...

I kapitel V GDPR finns ett särskilt regelverk som reglerar tredjelandsöverföring. Ett tredje land är ett land utanför EU/EES och för att föra över personuppgifter till ett tredje land krävs att de finns en laglig grund, i enlighet med GDPR. En av de möjliga förutsättningarna är att tillämpa standardavtalsklausuler (Standard Contractual Clauses, SCC). Det föreligger dock en risk för att standardavtalsklausulerna inte motsvarar det skydd för personuppgiftsbehandlingar som GDPR uppställer.

Många företag vill kunna behålla information för att kunna föra statistik, vilket ofta kräver att informationen sparas under en lång tid. Genom att pseudonymisera eller anonymisera personuppgifter skapar man en säkrare behandling, som till och med kan falla utanför GDPR:s tillämpningsområde.

Datainspektionen publicerade nyligen sin tillsynsplan, där de meddelade vad deras arbete huvudsakligen kommer fokusera på under de närmaste två åren (2019 och 2020). Några av de verksamhetsområden eller branscher som är prioriterade inför granskningen är hälso- och...

GDPR ställer olika krav beroende på om en biträdesrelation föreligger eller inte. I vissa fall kan det dock vara svårt att fastställa vilken relation man har med andra parter. Vad ska man tänka på när man anlitar revisionsbolag, rekryteringsföretag och...

En av de rättigheter som GDPR ger enskilda personer är rättigheten att inte behöva bli föremål för ett automatiserat beslutsfattande under vissa förutsättningar. Många organisationer tänker inte på att regleringen kring automatiserat beslutsfattande, inbegripet...

Förutom GDPR finns det i svensk rätt ett antal speciallagar som reglerar personuppgiftsbehandling. En av dessa är kamerabevakningslagen. Men hur förhåller sig denna svenskstiftade lag till GDPR och vad säger kamerabevakningslagen egentligen?   Publicerad 15...

I dagens samhälle är det vanligt att ens arbetsmejl innehåller flertalet personuppgifter och olika typer av behandlingar. Vi får många frågor kring hur e-postmeddelande ska hanteras enligt GDPR. Därför beskriver vi i detta blogginlägg hur ni kan hantera er e-post på ett GDPR-smart sätt!

I ett tidigare blogginlägg (som ni hittar här) redde vi ut 10 viktiga begrepp i GDPR. I detta blogginlägg kommer vi reda ut 10 ytterligare begrepp i GDPR. Har ni koll även på dessa är det enklare att följa med i diskussionerna kring de krav som ställs upp i GDPR....

Även om ni inte har ingått ett avtal med den enskilde eller inhämtat den enskildes samtycke finns det ibland en möjlighet att ändå behandla enskildas personuppgifter på ett lagenligt sätt. Den lagliga grund denna behandling grundar sig på kallas...

I förra gästblogginlägget (som du kan läsa här) påbörjade vi med att besvara några av tomtens frågeställningar kring territorialitet och laglighet för behandling av personuppgifter. Detta är en bra början, men det finns fler frågor som bör utredas innan jultomten...

Detta blogginlägg syftar till att öka förståelsen för de allra viktigaste delarna av förordningen – behandlingsbegreppet och GDPR:s principer.

I detta blogginlägg kommer vi informera om ett annat GDPR-avtal – ett s.k datadelningsavtal. Vi kommer reda ut när det behövs och hur det ska utformas.

Till skillnad från ett personuppgiftsbiträdesavtal, är alla parter i ett datadelningsavtal personuppgiftsansvariga och bestämmer tillsammans ändamål och medel med personuppgiftsbehandlingen.