Välkommen till Sveriges största GDPR blogg
Vill du få en notis när nästa blogginlägg publiceras? →
När behöver vi göra en konsekvensbedömning?
En konsekvensbedömning har till syfte att förebygga risker. Målet med bedömningen är att skydda människors fri- och rättigheter och minimera risker vid sådana behandlingar av personuppgifter som innebär en hög risk. Detta blogginlägg syftar till att utreda när en...
1177-incidenten – vad hände?
Under 2019 blev sjukvårdsrådgivningstjänsten 1177 mycket uppmärksammad efter att det framkommit information att inspelade samtal funnits tillgängliga för alla att komma åt via nätet. IMY inledde därför en granskning av aktörer kopplade till händelsen. Det visade...
Digitala vaccinationsbevis
EU-kommissionen presenterade ett förslag på lagstiftning om covidbevis i våras. Förordningen antogs sedan, efter vissa justeringar, av Parlamentet och Rådet den 14 juni. Med anledning av denna nya lagstiftning utreder vi i detta blogginlägg: Hur uppfyller de...
Utgör IP-nummer en personuppgift?
Personuppgift är ett mycket vitt begrepp i GDPR och omfattar all information som kan identifiera en person. Gränsdragningen mellan personuppgifter och anonyma uppgifter är inte alltid helt tydlig. Frågan om huruvida IP-adresser utgör personuppgifter har behandlats...
Allt du behöver veta om tillsyn enligt GDPR
I början av året uppmärksammade vi den stora sanktionsavgift som integritetsskyddsmyndigheten (IMY) utfärdade mot Google på hisnande 75 000 000 kr. Det var dock inte den enda sanktionsavgift som myndigheten utfärdade under 2020. IMY, Sveriges tillsynsmyndighet för...
Vad gäller vid kamerabevakning?
När är det tillåtet att använda sig av kamerabevakning och vad ska man tänka på för att bevakningen ska vara laglig? Kamerabevakning sker genom att övervaka platser med hjälp av bevakningskameror. Det innebär att personuppgifter samlas in och därför utgör...
När är det okej att behandla känsliga personuppgifter?
Utgångspunkten är att känsliga personuppgifter är förbjudna att behandla enligt artikel 9 GDPR. Regeln innehåller dock flera undantag som gör det okej att i vissa situationer behandla känsliga personuppgifter. Publicerad 6 augusti 2021 Behandling av...
Rätten till radering – vanliga missuppfattningar
En vanlig missuppfattning gällande rätten till radering är att det är en absolut rättighet att få bli raderad vid en begäran. Det finns dock många undantag som kan bli aktuella gällande denna rättighet. Publicerad 16 juni 2021 När måste uppgifterna raderas? Rätten...
Vad innebär egentligen rätten att göra invändningar?
Den registrerade har en rad rättigheter som är viktiga att ha koll på. En av dessa är rätten för den registrerade att göra invändningar. Här nedan utreds vad som är viktigt att tänka på vid denna rättighet. Publicerad 2 juni 2021 Den registrerades...
När har jag rätt att samla in personuppgifter?
För att samla in personuppgifter krävs lagstöd, vilket regleras i artikel 6 GDPR och kallas även ibland för rättslig grund. Det finns sex olika rättsliga grunder att luta sig mot och om rättslig grund saknas är det olagligt att behandla personuppgifterna. Nedan...
Hur skriver man en personuppgiftspolicy?
En av de grundläggande principerna i GDPR är principen om öppenhet, vilken bland annat innebär ett krav på att registrerade får tillgång till information vid personuppgiftsbehandlingen i lättillgängligt format, kommunicerat på...
Vad är en personuppgiftsbehandling?
Som bekant gäller GDPR vid all behandling av personuppgifter. Åtgärder som exempelvis insamling, lagring och bearbetning av personuppgifter innebär att uppgifter hanteras på olika sätt. Att personuppgifterna behandlas på flera olika sätt innebär dock inte...
Domstolsavgörande – sanktionsavgift mot Google
Integritetsskyddsmyndigheten, dåvarande Datainspektionen, beslutade den 3 mars 2020 att utfärda en sanktionsavgift mot Google LLC. Sanktionsavgiftens belopp var stort – 75 000 000 kr. Google LLC överklagade beslutet till Förvaltningsrätten i Stockholm, som den 23...
Tydliggörande gällande gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden
En viktig del av GDPR är att kunna avgöra om verksamheten är personuppgiftsansvarig eller personuppgiftsbiträde för en viss personuppgiftsbehandling. I visa fall kan en verksamhet till och med vara gemensamt personuppgiftsansvarig med en annan verksamhet. Vi har...
Kan vi samla in personuppgifter om medlemmars anhöriga?
Vi får många frågor om just anhöriguppgifter. Anhöriguppgifter kan samlas in i olika sammanhang. Framförallt tänker kanske de flesta på anhöriguppgifter till anställda, men även för medlemmar i företag, föreningar och organisationer kan det finnas en mening med att...
Hur ni kan behandla känsliga personuppgifter lagligt
I GDPR finns det olika regler för olika typer av personuppgifter som är viktiga att känna till. De personuppgifter som bedömts som känsliga förtjänar enligt GDPR ett extra skydd. Hur det extra skyddet ter sig kommer vi gå igenom i detta blogginlägg. ...
Personuppgifter och covid-19
I och med den globala pandemin vi befinner oss i, behöver vi såklart bete oss på annat sätt än vad vi är vana vid. Men vad betyder det egentligen i förhållande till GDPR? Nya situationer kan skapa nya funderingar gällande insamling av personuppgifter, exempelvis...
Schrems II – Privacy Shield ogiltigförklarad – Överföring till USA
Den 16 juli kom domen från EU-domstolen i det intressanta målet C-311/18 Data Protection Commissioner mot Facebook Ireland Ltd (Facebook Ireland) och Maximillian Schrems. I detta blogginlägg kommer vi gå igenom de viktigaste delarna av domen. Om du skulle vara...
Sekretess och rätten till tillgång
De flesta vet att det i GDPR finns en skyldighet för verksamheter lämna ut vilka personuppgifter de behandlar om en person om någon begär ut sina personuppgifter. Denna skyldighet gäller för myndigheter, företag och organisationer. Det är dock viktigt att komma...
När är GDPR tillämplig?
Nu när GDPR varit i kraft i två år och många börjat fördjupa sig i specifika delar av förordningen är det enkelt att glömma de grundläggande delarna såsom: är GDPR tillämplig i denna situationen? Vi kommer därför i detta blogginlägg ge en påminnelse om när GDPR är...
GDPR inom hälso- och sjukvården
GDPR gäller för de flesta verksamheter, även hälso- och sjukvården. När det kommer till hälso- och sjukvården är det dock inte bara GDPR som reglerar hur personuppgiftshanteringen ska gå till. Inom detta område finns det flera speciallagar att ta hänsyn till. Vi...
Ska vi anmäla alla personuppgiftincidenter?
Personuppgiftsincident är ett vanligt ord sedan GDPR trädde i kraft för snart två år sedan. Det är viktigt att ha grundläggande kunskap kring personuppgiftincidenter samt rutiner för att kunna hantera en eventuell incident. Tyvärr cirkulerar det mycket felaktig...
Olika vägar till ansvar för personuppgiftshantering
Den personliga integriteten anses skyddsvärd. Det är svårt att definiera vad den personliga integriteten är, men det omfattar privat information om en person och dennes privatliv. Dessa uppgifter ska skyddas från angrepp utifrån. Men hur skyddas den personliga...
Gällande C-311:18: uppdatering av fallet med förslag till avgörande av generaladvokaten
I det här intressanta fallet, som vi tidigare skrivit om i det här blogginlägget, gavs det ett förslag till avgörande av generaladvokaten Henrik Saugmandsgaard Øe den 19 december 2019. I det här blogginlägget kommer vi behandla de mest intressanta aspekterna av...
Integritetsskyddsmyndighetens årsrapport
Det är nog ingen som missat att Integritetsskyddsmyndigheten är tillsynsmyndighet över GDPR i Sverige. Det innebär att det är Integritetsskyddsmyndigheten som ansvarar för att svenska företag, organisationer och offentliga verksamheter följer GDPR och andra lagar...
När är vi personuppgiftsbiträde?
När är egentligen vår verksamhet personuppgiftsansvarig respektive personuppgiftsbiträde? Det är två långa begrepp som kan vara svåra att förstå sig på ibland, men även mycket viktigt att få grepp om. Vi på GDPR Hero får många frågor gällande denna bedömning,...
Hur ska personnummer hanteras enligt GDPR?
Ett personnummer anses utgöra en personuppgift, vilket gör att personuppgiften ska hanteras i enlighet med GDPR och annan kompletterande lagstiftning i nationell rätt. Hantering av personnummer kan förekomma på olika sätt. De kan behandlas exempelvis i mail,...
Dataskyddsombudets skadeståndsansvar
Enligt GDPR är det den som är personuppgiftsansvarig eller personuppgiftsbiträde som kan vara skadeståndsansvariga om regelverket inte efterlevs. Detta är oftast en juridisk person. I detta blogginlägg undersöker vi om det enbart är dessa två aktörer som kan bli...
C-311/18 Facebook Irland och Schrems – förhandsavgörande och vad det innebär
Det pågående målet, C-311/18 Facebook Irland och Schrems, är ett väldigt intressant mål ur dataskydds- och massövervakningshänseende när personuppgifter förs över från EU till USA. I det här blogginlägget tittar vi närmare på målet och förklarar de viktigaste...
Integritetsskyddsmyndighetens tillsyner
Många av våra läsare har säkert uppmärksammat att Integritetsskyddsmyndighetens arbete verkar vara i full gång. Just nu kommunicerar Integritetsskyddsmyndighetens många nyheter i form av genomförda tillsyner. Men vad är en tillsyn och vad kan en tillsyn leda till?...
Får vi fotografera på företagsfesten?
Vintern närmar sig och ni bjuder in era anställda till en företagsfest för att fira den kommande ledigheten. Givetvis vill ni föreviga detta genom fotografier och filmer som sedan läggs ut på er hemsida och diverse sociala medier. Är detta tillåtet enligt GDPR? I...
Hur länge får vi spara personuppgifter?
En vanlig fråga vi får är hur länge en personuppgiftsansvarig får spara personuppgifter. Det går inte att ange en bestämd tidsgräns för all form av personuppgiftsbehandling. Därför kommer vi i detta blogginlägg gå igenom olika riktmärken och tips för att ni ska...
Första steget till att behandla personuppgifter i enlighet med GDPR
Fortfarande får vi många frågor om när det är lagligt att behandla personuppgifter och om företag måste inhämta samtycke för att få behandla personuppgifter. Vi kommer därför i detta blogginlägg beskriva de sex rättsliga grunder det finns för att få behandla...
Hur kan skolor och förskolor behandla personuppgifter i enlighet med GDPR?
Inom skol- och förskoleverksamhet behandlas ofta ett stort antal personuppgifter, oavsett om skolan eller förskolan drivs i privat eller offentlig regi. Skolor och förskolor behandlar dessutom många känsliga personuppgifter, som anses extra skyddsvärda....
Sommarens nyheter inom GDPR | Första sanktionsavgiften
Många tar semesterledigt och slappnar av under sommaren men juridikens utveckling stannar aldrig av. GDPR Hero har sammanställt tre av de viktigaste händelserna under sommaren som ni bör ha koll på gällande Integritetsskyddsmyndighetens arbete med GDPR och den...
Standardavtalsklausuler och GDPR
I kapitel V GDPR finns ett särskilt regelverk som reglerar tredjelandsöverföring. Ett tredje land är ett land utanför EU/EES och för att föra över personuppgifter till ett tredje land krävs att de finns en laglig grund, i enlighet med GDPR. En av de möjliga förutsättningarna är att tillämpa standardavtalsklausuler (Standard Contractual Clauses, SCC). Det föreligger dock en risk för att standardavtalsklausulerna inte motsvarar det skydd för personuppgiftsbehandlingar som GDPR uppställer.
Pseudonymisering och anonymisering av personuppgifter
Många företag vill kunna behålla information för att kunna föra statistik, vilket ofta kräver att informationen sparas under en lång tid. Genom att pseudonymisera eller anonymisera personuppgifter skapar man en säkrare behandling, som till och med kan falla utanför GDPR:s tillämpningsområde.
Integritetsskyddsmyndighetens kommande tillsyn – särskilt fokus på vissa branscher!
Integritetsskyddsmyndigheten publicerade nyligen sin tillsynsplan, där de meddelade vad deras arbete huvudsakligen kommer fokusera på under de närmaste två åren (2019 och 2020). Några av de verksamhetsområden eller branscher som är prioriterade inför granskningen...
Revisionsbolag, rekryterings- och bemanningsföretag – biträden eller inte?
GDPR ställer olika krav beroende på om en biträdesrelation föreligger eller inte. I vissa fall kan det dock vara svårt att fastställa vilken relation man har med andra parter. Vad ska man tänka på när man anlitar revisionsbolag, rekryteringsföretag och...
Automatiserat beslutsfattande och profilering – regler som rör många verksamheter
En av de rättigheter som GDPR ger enskilda personer är rättigheten att inte behöva bli föremål för ett automatiserat beslutsfattande under vissa förutsättningar. Många organisationer tänker inte på att regleringen kring automatiserat beslutsfattande, inbegripet...