Nyckelbegrepp
Begrepp
Registrerad – En identifierad eller identifierbar fysisk person.
Personuppgiftsansvarig – En fysisk eller juridisk person eller annat organ som bestämmer ändamålet och medlen för behandlingen av personuppgifter. Ett företag är personuppgiftsansvarig med avseende på personuppgifter de innehar för egen räkning om sina anställda, kunder, leverantörer och andra. Ett typiskt exempel är innehavet och användningen av personuppgifter såsom e-postadresser för marknadsföringsändamål.
Personuppgiftsbiträde – En fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett typiskt exempel är en säljare av automatiserad marknadsföring, som skickar ut e-post avseende marknadsföring på uppdrag av ett annat företag.
Personaluppgift
Generellt sett avser “personuppgift” varje upplysning som kan användas för att identifiera en person. GDPR utökar tidigare juridiska definitioner till att inkludera identiteter, såsom:
- genetiska
- psykiska
- kulturella
- ekonomiska
- sociala
Samtycke
GDPR anger hårdare krav på vad som utgör samtycke när registrerade lämnar sina personuppgifter. Ett typiskt exempel är när besökare på en webbplats väljer att medverka i en e-marknadsföringskampanj genom att lämna ut sin e-postadress.
GDPR stipulerar att samtycke måste vara:
- frivilligt – en arbetsgivare som begär personuppgifter från en anställd skulle inte uppfylla detta krav pga. relationen
- specifik – det måste framgå klart att uppgifterna som insamlas endast kommer att användas för specifika aktiviteter
- informerat – den registrerade måste ha tillräckligt med information om dessa aktiviteter för att kunna fatta ett informerat beslut
- otvetydigt – “samtycke ska ges med en tydlig bekräftande handling”; detta är en av GDPRs mest väsentliga förändringar, då det innebär att det inte längre är lagligt att få den registrerades samtycke genom en förkryssade ruta
Personuppgiftsansvariga har nya efterlevnadskrav, inklusive:
- Då man begär om samtycke, måste personuppgiftsansvariga använda ett enkelt och tydligt språk vid kommunikation med de registrerade
- Samtycke måste kunna verifieras. Företag måste bevara uppgifter om samtycke som kan kontrolleras för att verifiera:
- att den registrerade har samtyckt
- vad han eller hon samtyckte till
- när han eller hon samtyckte
Registrerades rättigheter
GDPR definierar olika rättigheter som alla EU medborgare har som registrerade. Vi har alla rätt att veta vem som innehar och behandlar våra personuppgifter, och för vilka ändamål. Vi har också rätt att:
- begära ett personuppgiftsutdrag och att erhålla det i ett dataportabelt format
- få felaktigheter rättade
- begära att våra uppgifter varaktigt raderas
- begränsa typen av personuppgifter som kan lagras och behandlas
- begränsa hur våra uppgifter kan behandlas
- återkalla vårt samtycke när som helst
- bli tydligt informerade om dessa rättigheter
I sin tur krävs det av personuppgiftsansvariga att:
- de gör det lika lätt för registrerade att återkalla sitt samtycke som det är att ge det
- vidta alla rimliga åtgärder för att verifiera identiteten hos de registrerade som gör dessa förfrågningar
- svara på och fullfölja dessa förfrågningar utan orimligt dröjsmål (inom en månad efter mottagen förfrågan)
- radera personuppgifter så snart ändamålet för vilket de insamlades har upphört (utan att vara beroende av begäran från de registrerade att göra så)
- säkerställa att deras avtal med personuppgiftsbiträden specificerar att säkerhetsåtgärder avseende GDPR-efterlevnad är etablerade för att skydda personuppgifter
