GDPR-verktyg

Kraftfullt & lättanvänt

Kom igång snabbt & enkelt

♥ Onboarding ingår

♥ Personlig uppföljning

♥ Dokumentmallar

Utbildning

Investera i er själva

Utbildningsformat för alla behov

Rådgivning

Spetskompetens & personligt

Lång erfarenhet, flexibla upplägg & enkel prissättning

Hjälp med GDPR-frågor

Dataskyddsombudstjänst

Incidenthantering

Webinarie

Nytt avsnitt varje månad!

Blogg

Sök eller bläddra bland 100-tals kostnadsfria GDPR-artiklar om aktuella frågor!

GDPR-projektplan

Låt vår roadmap guida dig under din GDPR-resa – smart och detaljerad!

Vanliga frågor

♥ Över 1000 nöjda kunder

♥ 4,5 av 5 i kundnöjdhet

♥ 9 av 10 fortsätter år efter år

♥ Bli en GDPR-hjälte du också!

Kundcase

Vi gör juridiken lätt för dig

Tillbaka till bloggens startsida

GDPR – Blir det inga julklappar i år? Del 2

21 december 2018

I det föregående blogginlägget (som du kan läsa här) påbörjade vi med att besvara några av tomtens frågeställningar kring territorialitet och laglighet för behandling av personuppgifter. Detta är en bra början, men det finns fler frågor som bör utredas innan jultomten far iväg med julsäcken och renarna på sin jorden-runt-resa. I samma anda fortsätter vi med tomtens informationsplikt och de registrerades rättigheter.

 

Tomten har en informationsskyldighet till alla barnen

För alla personuppgiftsansvariga är huvudregeln att behandlingen av personuppgifter ska informeras till samtliga registrerade som omfattas. I tomtens fall blir det hans skyldighet att informera alla barn (och föräldrar) om de behandlingsaktiviteter som han utför. Dels ska information om den profilering som tomten utför över barns beteende året runt tillhandahållas och dels den behandling av barns kontaktuppgifter som möjliggör julklappsutdelning. För båda dessa behandlingsaktiviteter blir artikel 13 GDPR tillämplig.1

Det betyder att information om personuppgiftsbehandlingen ska lämnas till den registrerade när personuppgifterna erhålls. Under GDPR bör tomten alltså uppfylla sin informationsplikt och lämna information på ett lämpligt sätt.2 Undantaget skulle vara om den registrerade redan förfogar över informationen enligt artikel 13.4 GDPR, då tomten inte behöver lämna informationen ännu en gång. Det skulle kunna argumenteras för att kunskap om tomtens behandling av personuppgifter baserat på barnens goda uppförande är vida känt sedan barnsben.3

 

Om jag inte får några julklappar då…

Anna, 9 år, tillhör ett av de barn som inte har varit snäll i år och som inte kommer att få några julklappar av tomten. Eftersom att hon, till skillnad från de allra flesta barn, också har läst kvällskurs om GDPR känner hon till de rättigheter som finns i GDPR och som hon kan utnyttja. Anna menar att hon visst varit snäll i år. Om man bortser från att hon struntade i att göra sina läxor under april eller att hon inte städade sitt rum som utlovat, som väl inte är alltför farligt, så tycker hon att hon borde få sina julklappar. Anna tar därför och skriver till tomten att hon vill att han ska radera denna specifika information så att endast uppgifter om hennes snälla beteende behålls. Kan hon göra det?

I förra blogginlägget slog vi fast att intresseavvägning är ett lämpligt lagstöd för jultomten att basera sina behandlingsaktiviteter på. Annas raderingsförfrågan innebär i juridiska termer en invändning mot fortsatt behandling av vissa personuppgifter som grundar sig på lagstödet intresseavvägning. Den personuppgiftsansvarige ska då inte fortsätta behandla personuppgifter såvida det inte finns tvingande berättigade skäl som väger tyngre än barnets fri- och rättigheter.

I detta fallet skulle tomten kunna argumentera för att radering av vissa personuppgifter (de personuppgifter som visar på att Anna inte har varit snäll) skulle strida mot ändamålet för tomtens bevakning av barns beteende. Profileringen och utvärderingen av ett barns beteende måste rimligen gälla för alla stunder under ett år för att tomten ska kunna göra en bedömning på om ett barn får julklappar eller inte. Tomten har därför starka berättigade skäl till att fortsatt behandla samtliga personuppgifter för ovannämnda ändamål.4.

 

En GDPR-compliant jul till slut… även för tomten

Mycket ska hinnas med innan jul för alla, men inte minst för vår tomtefar. Det finns många fler komplexa frågor kring tomtens personuppgiftsbehandling som har fått lämnats orörda såsom tomtens tredjelandsöverföring, behov av dataskyddsombud och EU-representant m.m. Vi hoppas dock att tomtefar har fått svar på några av de frågor som han har funderat över innan han beger sig iväg på sin världsturné. Vi finns ju kvar även efter jul för att ta tag i det riktiga GDPR-arbetet som han lär behöva mer hjälp med.

Med det sagt så önskar vi på GDPR Hero er alla en God Jul och ett Gott Nytt År!

 

Kenny Chung 

info@gdprhero.se

046-2731717

 

Fotnoter

  1. Article 29 Working Party, ”Guidelines on transparency under Regulation 2016/679”, s.14-15.
  2. Tomten ställer sig till skaran av personuppgiftsansvariga som i år har fått skriva en personuppgiftspolicy i all hast. Den bör utan onödigt dröjsmål finnas på tomtens hemsida innan jul, lättillgänglig och lättförståelig för barn och föräldrar.
  3. Argumentet är aningen långsökt och det är mycket annan information som barnen säkert inte vet om såsom: behandlingens varaktighet, tomtens dataskyddsombud, lagligt stöd etc. för att nämna några få. Tomten får nog allt se till att skriva sin personuppgiftspolicy och delge informationen på lämpligt sätt i alla fall.
  4. Annat hade gällt om Anna invänt mot att alla personuppgifter hos tomten skulle raderas då det inneburit att tomten inte kunnat profilera Anna eller leverera hennes julklapp med hjälp av hennes kontaktuppgifter. Då hade en bedömning gjorts med bakgrund av denna invändningsförfrågan.
Innehållet i denna blogg är allmän information och är inte att betrakta som juridisk rådgivning.

Andra relevanta blogginlägg

Få notifikation direkt när nya inlägg publiceras

Loading...