I november 2017 ordnade vi i Helsingfors ett stort GDPR-relaterat evenemang för eventarrangörer. Det uppstod god diskussion om hur EU:s nya dataskyddsförordning GDPR kommer att inverka på eventarrangörers vardag. Vi bad publiken, som bestod av eventproffs, ställa frågor angående detta. Våra experter har svarat på frågorna och nu har vi samlat samtliga frågor och svar i detta dokument. Frågorna står tryckta såsom de inlämnades av deltagarna, dem har vi inte ändrat på.
Eftersom tolkningen av förordningen endast är giltig genom rättspraxis tar vi inget juridiskt ansvar ifall ni beslutar agera i enlighet med våra svar. Svaren är dock kontrollerade av dataskyddsjurister och någon egentlig konflikt med lagen finns inte i svaren. Man ska dock komma ihåg att alla anvisningar varierar från fall till fall. Vi uppmuntrar alltid att ni hör med jurister som kan er egen bransch, innan ni fattar slutgiltiga beslut angående era dataskyddsförfaranden. Men vi hoppas dessa svar kan hjälpa er på traven när ni GDPR-anpassar er eventverksamhet!
Frågorna:
- Om deltagarlistorna är i Excel-filer, kan man faktist hantera dem i enighet med GDPR-kraven då?
- Hur förmedlar man personuppgifter på ett datasäkert sätt? Kan man lita på e-posten?
- Kan deltagarlistan för ett internationellt evenemang överlåtas till följande arrangör?
- Måste Lyyti förnya alla avtal?
- Får man i fortsättningen skicka inmail-meddelanden i LinkedIn till sina målgrupper?
- Kan man visa evenemangets deltagarlista åt andra deltagare, men ändå uppfylla GDPR-kraven?
- Hur kan registeransvarige förvissa sig om att den som hanterar data agerar i enlighet med förordningen? Vad är en tillräcklig nivå?
- Bildar varje evenemang ett eget register? Ska varje evenemang ha en egen registerbeskrivning?
- Kan man fortfarande använda e-postlistor som människor frivilligt har anmält sig till?
- Är det alltid ok att fotografera evenemang? Hur dras linjen mellan ett offentligt och ett privat evenemang?
- Hur länge får man spara deltagardata?
- Hurdana avvikelser i dataskydd ska man anmäla till dataskyddsombudet?
- Vilken roll spelar Facebook-sidor, grupper och evenemang?
- Finns det nån mall som man kan få kopiera för att skapa en egen dataskyddsbilaga?
- Hur kan man i fortsättningen anmäla barn och unga till t.ex. läger? Krävs något intyg över vårdnad?
- Måste även föreningarna göra en separat beskrivning då förbundet upprätthåller ett medlemsregister över lokalföreningar?
- Allergiinformation kan vara känslig information, är det bättre att på anmälningsblanketten hellre fråga efter specialdieter?
- Anses det som överlåtelse av information om man ger hotellet rumsfördelningen inklusive namn över evenemangsdeltagarna?
- Hur länge kan studerandes information sparas i registret efter avslutade studier, t.ex. med tanke på matrikelhistorik och examensbetyg som beställs senare?
- Bildar den egna personalens utbildningsdeltagarlistor ett eget register?
- Måste gamla deltagarlistor i pappersformat förstöras?
- Lyyti kan användas med gemensamma användarnamn. Borde man vara orolig?
- Hur marknadsföra evenemang genom insamlade adresslistor från tidigare evenemang?
- Om jag av misstag delar kund- eller deltagarregistret till fel instans, får jag genast 20 miljoner i böter?
- Bildar videomaterial ett personregister? Materialet har sparats både som råmaterial och som artikelpublikationer på nätet med bildtexter.
- Läkemedelsfabriken sponsorerar ett evenemang och behöver eller vill ha information om vem de sponsorerar. Kan uppgifterna överlåtas?
- Behövs vårdnadshavarens godkännande om en under 16-årig arbetstagares information sparas i HR-systemet?
- Kan vi skicka egna hanteringsavtal till Lyyti?
- Är användarprofilering med maskininlärning tillåtet om användaren inte direkt kan identifieras på basis av detta?
- Hur många dataskyddsbeskrivningar behövs? Kan all persondata sparas i ett stort intressentregister och sedan skapas en beskrivning av detta?
- Vad händer med folk som vaknar till och börjar ställa krav?
- Gäller alla samma bestämmelser företagets personaldata (vs. kunddata) och lagringen av dessa?
- Om evenemangsarrangören öppet stöder frågan gällande sexuella minoriteter och vill skicka riktad direktmarknadsföring, hur känslig är datainsamlingen då?
- Hur ska företaget skydda hanteringen av personregister då personalen arbetar mobilt i öppet nätverk?
- Hur förverkligas dokumentationen av verksamhetsåtgärder i småföretag? Finns det kriterier om vad som t.ex. dokumenteras gällande HR:s verksamhetsåtgärder eller är dokumentationen fritt formulerad?
- Hur ska GDPR tas i beaktande om företaget är registrerat utanför EU?
- Förknippas överlåtelse alltid med pengar (informationen säljs vidare)? Kan man även överlåta data gratis (om det informerats i registerbeskrivningen)? Jämför: offentlig förvaltning.
- Insamling av personbeteckningar i en Excel-tabell och anmälan till skattemyndigheten: dagpenning och km-ersättning betalas?
- Hur definieras en B2B-kund? Om kunden är ett stort företag, hur begränsas företagets arbetstagare, vem får man ha i kundregistret?
Om deltagarlistorna är i Excel-filer, kan man faktist hantera dem i enighet med GDPR-kraven då?
Eventuellt, om man endast ordnar några få evenemang per år. Men även då bör man tänka på deltagarlistans dvs registrets livscykel och avgöra på förhand vad som ska ske med filerna när de inte längre behövs. Ifall en deltagare vill kontrollera eller radera sina uppgifter så bör informationen hämtas och raderas från alla databaser och filversioner som den finns på. Detta gäller även en utskrift som givits till busschauffören eller listan som skickats till cateringfirman som sen sparat den på sin egen dator. Rätt snabbt kommer du att inse att det är omöjligt att hålla reda på alla filversioner, om informationen inte lagras och hanteras centrerat i en databas.
Hur förmedlar man personuppgifter på ett datasäkert sätt? Kan man lita på e-posten?
E-post är i princip aldrig det datasäkraste alternativet, men det beror ju nog på uppgifternas känslighetsnivå om e-post kan användas eller ej. Det bästa sättet att förmedla känsliga data är att endast dela data med läsrättigheter, t.ex. via online-rapporter. Då kan mottagaren inte spara informationen på egen enhet och du slipper splittring av personregistret.
Kan deltagarlistan för ett internationellt evenemang överlåtas till följande arrangör?
Ja, om detta anges i dataskyddsbeskrivningen och ifall deltagaren gett sitt samtycke. Dock ska specialfall beaktas, såsom t.ex. en situation där det följande evenemanget ordnas utanför EU-området.
Måste Lyyti förnya alla avtal?
Leveransavtalet som definierar villkoren för vårt samarbete (priser, servicemodeller, egenskaper, ersättningsskyldigheter etc.) fortsätter vara giltigt och behöver inte uppdateras. Eftersom dataskyddsförordningen förutsätter ett separat avtal om dataskydd, som vårt nuvarande avtal inte innehåller, kommer vi att komplettera leveransavtalet med en dataskyddsbilaga som definierar hur och för vilket ändamål Lyyti hanterar och förvaltar kundens data.
Ifall kunden har en egen dataskyddsbilaga eller vill diskutera innehållet i vår dataskyddsbilaga, hanteras dessa från fall till fall. Förhandlingar ingås endast med kunder som besitter användarlicens på Enterprise-nivå.
Får man i fortsättningen skicka inmail-meddelanden i LinkedIn till sina målgrupper?
Tillsvidare ja, eftersom GDPR inte tar ställning till detta. Det gör i sin tur EU:s e-Privacy-direktiv, som är under beredning för tillfället. Tilläggsuppgifter om e-Privacy hittar du här: https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation
Kan man visa evenemangets deltagarlista åt andra deltagare, men ändå uppfylla GDPR-kraven?
Om data delas bland de andra deltagarna på alla dina evenemang är det bra att lyfta fram detta tydligt i dataskyddsbilagan/registerbeskrivningen. Om detta inte framgår i din dataskyddsbilaga och förfarandet är mer undantag än regel, bör du i samband med anmälan begära samtycke till att deltagarens namn syns på den publicerade deltagarlistan. Å andra sidan: om ditt event går ut på att nätverka med andra deltagare, behöver du inte ta emot deltagare som nekar till att deras personuppgifter delas med de andra deltagarna.
Hur kan registeransvarige förvissa sig om att den som hanterar data agerar i enlighet med förordningen? Vad är en tillräcklig nivå?
Vi rekommenderar att du ber hanteraren om dokumentation gällande företagets dataskyddspraxis, tekniskt genomförande av informationssäkerhet och eventuella auditeringar. Ifall det på basis av dessa dokument visar sig att hanteraren inte förhåller sig seriöst och professionellt till dataskyddsförordningens krav, ska varningsklockorna ringa. Ingen entydig minimumnivå har definierats så där är det omöjligt att ge entydiga anvisningar.
Bildar varje evenemang ett eget register? Ska varje evenemang ha en egen registerbeskrivning?
Det brukar inte behövas. Evenemang bildar sällan egna register, för deltagarnas kontaktuppgifter är oftast redan en del av ett större register. T.ex. vid event som ordnas för kunder finns personuppgifterna redan i kundregistret, till marknadsföringsevenemang kan man bjuda in sådana personer som redan tackat ja till marknadsföringskontakt, dvs de finns i marknadsregistret. Undantag finns dock; t.ex. väldigt stora evenemang med flera registeransvariga eller stora evenemang som ordnas sällan (exempelvis stora mässor). Då kan det vara klokt att skapa en egen dataskyddsbeskrivning för evenemanget. Kom ihåg kontinuiteten: om det är ändamålsenligt att utnyttja deltagaruppgifterna även i nästa evenemang ska detta omnämnas i dataskyddsbeskrivningen.
Kan man fortfarande använda e-postlistor som människor frivilligt har anmält sig till?
Absolut, förutsatt att personerna helt säkert har anmält sig till listan frivilligt. Kom bara ihåg att uppdatera e-postlistans registerbeskrivning/dataskyddsbeskrivning så att den stämmer överens med listans användningsändamål. Om du gör stora eller drastiska förändringar är det säkrast att be personerna på listan att godkänna den nya registerbeskrivningen. Detta är också ett utmärkt tillfälle att städa i listorna, dvs utelämna adresser/personuppgifter som inte längre är relevanta för ditt ändamål.
Är det alltid ok att fotografera evenemang? Hur dras linjen mellan ett offentligt och ett privat evenemang?
Det är alltid ok att fotografera, men det är inte alltid ok att använda fotot var som helst. Om en person objektivt kan identifieras (t.ex. om någon annan än den fotograferade också känner igen personen på bilden) ska man alltid be om lov att publicera fotot i kommersiella sammanhang. Som redaktionsmaterial får bilderna användas av media, så länge bilderna är relaterade till artikelns ämne. I samband med anmälan till evenemanget kan man informera om fotograferingen, bildernas eventuella användningsändamål samt be om samtycke till mer omfattande användning av bilderna.
Hur länge får man spara deltagardata?
Beror på informationen. Evenemangsspecifik data som efter evenemanget inte längre är ändamålsenligt att spara ska raderas då informationen för ifrågavarande evenemang inte längre behövs. Till viss data kan det finnas s.k. laglig rätt att bevara den. Om deltagarens anmälan t.ex. innebär fakturering åt ett eller annat håll, ska informationen enligt den finska bokföringslagen sparas i minst sex år. Men å andra sidan kan man i samma evenemang ha kunnat fråga om t.ex. deltagarens skostorlek eller uppgifter om matallergier. Dessa ska inte sparas i sex år. Det är bra att följa minimeringspraxis gällande data i den mån möjligt, d.v.s. att bara samla in och spara såna uppgifter man verkligen behöver.
Hurdana avvikelser i dataskydd ska man anmäla till dataskyddsombudet?
Det finns inga klara anvisningar för det här, men åtminstone då man kan anta att personuppgifter som läcker ut kan orsaka skada för personerna i fråga, ska man alltid vara i kontakt med dataskyddsombudet. Utgångspunkten är att det är bättre att vara på den säkra sidan, d.v.s. kontakta dataskyddsombudet om du är ens lite tveksam. Mer exakta riktlinjer lär födas vartefter dataskyddsombudet hinner bekanta sig med och hantera nya fall.
Vilken roll spelar Facebook-sidor, grupper och evenemang?
Frågan syftar säkerligen på hur hanteringen av deltagaruppgifter sker ifall inbjudan och anmälan sker via ett Facebook-evenemang. Intressant fråga, eftersom i praktiken alla sidor i Facebook omfattas av Facebooks registerbeskrivning och integritetspolitik. Ifall eventarrangören samlar in uppgifter via Facebook och senare flyttar deltagarnas uppgifter till sitt eget register, ska GDPR:s förordning om Dataskyddsbeskrivningen och samtycke följas. Tilläggsuppgifter om Facebooks registerpolitik (och mycket annat) finns här: https://www.facebook.com/privacy/explanation
Finns det nån mall som man kan få kopiera för att skapa en egen dataskyddsbilaga?
T.ex. Lyytis dataskyddsbilaga får man använda som modell och fylla i så den passar det egna företaget och de egna kunderna. Klicka här för att se hur den ser ut! I allmänhet beror dataskyddsbilagans innehåll mycket på användningsändamålet för informationen som samlas i registret. T.ex. ett patientregister och dess dataskyddsbilaga är väldigt annorlunda till sitt innehåll än en dataskyddsbilaga för ett marknadsföringsregister.
Hur kan man i fortsättningen anmäla barn och unga till t.ex. läger? Krävs något intyg över vårdnad?
GDPR fastställer att registeransvarige måste få vårdnadshavarens tillåtelse att spara personuppgifter, om den registrerade är under 16 år gammal. Åldern kan dock på nationell nivå variera mellan 13 och 16 år och t.ex. i Finland har ett beslut om skyddsåldersgränsen ännu inte fattats. Utgångspunkten är att skydda barn och unga från att överlämna sina personuppgifter, utan bättre förståelse för hur denna information kommer att användas. Då barn och unga anmäls till t.ex. ett läger kan det säkerligen anses vara en tillräcklig nivå att barnet själv inte kan anmäla sig utan att det är vårdnadshavarens uppgift. Vid anmälan kan man kräva att ett godkännande kryssas i som försäkran om att den som anmäler har rätt att anmäla personerna i fråga. Riktlinjen kommer knappast här att vara den att befolkningsregisterutdrag, passkopia och internetbanksidentifiering i samband med anmälan varje gång ska krävas. Det gäller här att uppmärksamma uppgifternas karaktär och användningsändamål.
Måste även föreningarna göra en separat beskrivning då förbundet upprätthåller ett medlemsregister över lokalföreningar?
Ifall det ur förbundets dataskyddsbeskrivning tydligt framgår att data används av både förbundet och lokalföreningarna, klarar man sig troligtvis med en beskrivning. Men ifall jag t.ex. hör till Egentliga Finlands medlemsförening, och godkänner att ifrågavarande förening får använda mina uppgifter, har dock eventuella andra lokalföreningar ingen rätt att använda dessa uppgifter. Därmed gäller det att definiera huruvida förbundet i själva verket är registerhanterare eller registeransvarig. Om förbundet erbjuder lokalföreningarna ett program och därmed upprätthåller detta, är de enbart hanterare.
Allergi-information kan vara känslig information, är det bättre att på anmälningsblanketten hellre fråga om specialdieter?
Detta ger i princip samma information. För säkert genomförande av ett evenemang är det ytterst viktigt att få en tydlig lista över de allvarligaste allergierna. Det lönar sig inte att riskera någons fysiska säkerhet, utan klart och tydligt fråga efter nödvändig information och därefter radera dessa ur registret då evenemanget genomförts.
Anses det som överlåtelse av information om man ger hotellet rumsfördelningen inklusive namn över evenemangsdeltagarna?
Nej, det är frågan om överföring av information. Hotellet har inte rätt att ta de registrerades uppgifter för t.ex. egna kommersiella syften. De har endast rätt att hantera uppgifterna, dvs. granska dem och spara dem i sina egna system för att förverkliga sin service. Om något evenemang dock ordnas i samarbete med hotellet, så att båda instanserna är registeransvariga och på så sätt bildar ett gemensamt register, är saken en annan. Då måste detta framgå tydligt ur dataskyddsbeskrivningen och i dessa fall rekommenderar vi att göra beskrivningar för varje fall.
Hur länge kan studerandes information sparas i registret efter avslutade studier, t.ex. med tanke på matrikelhistorik och examensbetyg som beställs senare?
Det är omöjligt att ta entydig ställning till det här eftersom vissa skolor enligt lagen är skyldiga att spara uppgifter för t.ex. behörighetsintyg. Det är bra att utreda detta med den egna juristen. Det är dock klart att det inte finns skäl eller rättighet att spara onödig information i studentregistret i flera år, som t.ex. menyalternativ på valborgslunchen år 2018.
Bildar den egna personalens kursdeltagarlistor ett eget register?
I praktiken inte. Dessa uppgifter utgör en del av personregistret som upprätthålls över personalen.
Måste gamla deltagarlistor i pappersformat förstöras?
Om det inte finns någon motivering till att spara uppgifterna (t.ex. ekonomiförvaltningens krav, laglig rätt osv.), blir allt naturligtvis lättare om dessa listor inte finns. Om deltagaren skulle vilja kontrollera vilka uppgifter (gällande honom / henne) som finns i registret, ska uppgifterna i praktiken samlas in från samtliga arkiv, dvs. även pappersformat.
Lyyti kan användas med gemensamma användarnamn. Borde man vara orolig?
Senast från och med maj 2018 rekommenderar vi att avstå från gemensamma användarnamn. Vi kommer att ha skyldighet att påvisa vem som hanterar vilka uppgifter och i praktiken är detta inte möjligt med gemensamma login.
Hur marknadsföra evenemang genom insamlade adresslistor från tidigare evenemang?
I praktiken borde registerbeskrivningen ha varit giltig i över 15 års tid – redan i enlighet med nuvarande Personuppgiftslag – och i dessa registerbeskrivningar anges uppgifternas användningsändamål. Om så är fallet och gamla deltagarlistor bildar en relevant, uppdaterad kontaktlista och deltagarna har gett sitt samtycke till användning av uppgifterna i marknadsföringssyfte, kan marknadsföringen fortgå som tidigare. Ifall det råder osäkerhet om listorna, rekommenderar vi att ni före maj 2018 ber om den registrerades samtycke till marknadsförings-användning.
Om jag av misstag delar kund- eller deltagarregistret till fel instans, får jag genast 20 miljoner i böter?
Absolut inte. Myndigheterna har även andra metoder i användning, som t.ex. vägledning, observation och förbud av datahantering. De största böterna är avsedda för större aktörer, brottslig verksamhet eller för grov försummelse av förordningen.
Bildar videomaterial ett personregister? Materialet har sparats både som råmaterial och som artikelpublikationer på nätet med bildtexter.
Ja, om personerna kan identifieras på videon. Användning av video följer samma princip som fotografier. Man får fotografera men användning kan kräva godkännande. Se svaret gällande fotografering.
Läkemedelsfabriken sponsorerar ett evenemang och behöver eller vill ha information om vem de sponsorerar. Kan uppgifterna överlåtas?
Läkemedelsbranschen omfattas av väldigt strikta bestämmelser och de har en viss rapporteringsskyldighet gällande deltagarna. Då kan och ska informationen överlåtas men endast i den mån det är nödvändigt. Det är även bra att i dataskyddsbeskrivningen informera om att information kommer att överlåtas till företaget som sponsorerar evenemanget, för att de ska kunna uppfylla sin rapporteringsskyldighet.
Behövs vårdnadshavarens godkännande om en under 16-årig arbetstagares information sparas i HR-systemet?
Ur GDRP:s synvinkel nej, men ur arbetslagstiftningens synvinkel indirekt ja. GDRP:s skyddsåldergräns lämpar sig inte nödvändigtvis i dylika situationer, eftersom det självklart inte är frågan om "erbjudande av datasamfundets tjänster direkt till barn", (artikel 8, termen definieras dessutom på annat ställe i finska lagstiftningen), utan hantering av information i direkt koppling till anställningsförhållandet. Dessutom, även om det annars skulle lämpa sig, har arbetsgivaren även i fortsättningen, på basis av Lagen om integritetsskydd i arbetslivet, rätt att samla in nödvändig information gällande anställningsförhållandet. Samtycke till insamling av vanlig HR-data behövs dess mer inte av en myndig heller. Eftersom en under 15-åring dock inte utan vårdnadshavarens samtycke får ingå ett arbetsavtal, enligt 3 § i Lagen om unga arbetstagare, skaffas samtycket indirekt den här vägen. Därmed är det aldrig till skada att som en del av rekryteringen be om vårdnadshavarens godkännande. Denna åtgärd väcker tillit, även om den inte alltid skulle innefatta någon egentlig juridisk betydelse. Det är dock bra att komma ihåg att skyddsåldern kan variera mellan 13 och 16 år länder emellan.
Kan vi skicka egna hanteringsavtal till Lyyti?
Kundens egna mallar kan tillämpas enbart i Enterprise-licenser.
Är användarprofilering med maskininlärning tillåtet om användaren inte direkt kan identifieras på basis av detta?
Om personen inte på basis av den här informationen kan identifieras, och det därmed är frågan om statistikdata, bildas inget personregister. Om personen dock senare skulle ange information om sig själv, som kan koppla honom / henne till tidigare sparad data, blir den här profileringsinformationen en del av personregistret.
Hur många dataskyddsbeskrivningar behövs? Kan all persondata sparas i ett stort intressentregister, varefter en beskrivning av detta skapas?
Då registrens användningsändamål avsevärt skiljer sig från varandra är det bra att skapa en egen dataskyddsbeskrivning. Exempelvis är information som sparas om personal väldigt olika i jämförelse med information som sparas om prospekt.
Vad händer då folk plötsligt vaknar till GDPR-verkligheten och börjar ställa krav?
Även dessa personer hjälper vi enligt bästa förmåga, eller hur? Bakgrunden till kraven är med största sannolikhet oron över arbetet som kan uppstå då hundratusentals deltagare kontinuerligt vill kontrollera sina uppgifter. Det går säkert att förbereda sig för detta, men det är knappast realistiskt. Det är bra att förbereda sig för dylika situationer på ett sätt som smidigt uppfyller flera krav om uppgifter samtidigt.
Gäller samma bestämmelser för alla, gällande företagets personaldata (vs. kunddata) och lagringen av dessa?
Då användningsändamålen i registret avsevärt skiljer sig från varandra är det bra att göra en egen dataskyddsbeskrivning. Man sparar t.ex. väldigt olika information om personalen än om prospekt.
Om evenemangsarrangören öppet stöder frågan gällande sexuella minoriteter och vill skicka allokerad direktmarknadsföring, hur känslig är datainsamlingen då?
Principiellt ger verksamhetens karaktär eller syfte inte större rättigheter i förhållande till andra organisationer. Men det finns undantag: nedan ser du punkten i GDRP-förordningen som behandlar detta.
1) Principiellt förbjudet (artikel 9 punkt 1)
2) Gällande undantag kan flera tillämpas i Punkt 2, tillämpningen av dessa ligger självklart helt och hållet på registeransvariges ansvar, i regel anser jag dock minimikravet vara medlemskap i föreningen eftersom det kan vara svårt att komma på något annat ändamål för varför just ifrågavarande förening skulle upprätthålla ett databas över medlemmar som inte hör till sexuella minoriteter.
- a förmodligen det mest troliga sättet men det är bra att kontrollera saken hos en jurist som är insatt i branschen.
- d lämplig om man kan tolka att verksamheten är politisk (vi kan inte ta ställning till vad man möjligen kan mena med "filosofisk", kanske det också är lämpligt?)
- i vissa sällsynta fall även e, men säkert rätt så omöjligt att hantera vem som själv offentliggjort saken
Artikel 9
Behandling av särskilda kategorier av personuppgifter
- Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
- Punkt 1 ska inte tillämpas om något av följande gäller:
a)
Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten eller medlemsstaternas nationella rätt föreskriver att förbudet i punkt 1 inte kan upphävas av den registrerade.
b)
Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten eller medlemsstaternas nationella rätt eller ett kollektivavtal som antagits med stöd av medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.
c)
Behandlingen är nödvändig för att skydda den registrerades eller någon annan fysisk persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.
d)
Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen enbart rör sådana organs medlemmar eller tidigare medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och personuppgifterna inte lämnas ut utanför det organet utan den registrerades samtycke.
e)
Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
f)
Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.
g)
Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
h)
Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.
i)
Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten eller medlemsstaternas nationella rätt, där lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter fastställs, särskilt tystnadsplikt.
j)
Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
- Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.
- Medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Hur ska företaget skydda hanteringen av personregister då personalen arbetar mobilt i öppet nätverk?
Det är frågan om tekniskt genomförande av dataskydd, inte direkt problem i samband med GDPR-förordningens dataskydd. Men hos oss på Lyyti har många ett mobilt arbete och vi har löst saken så att vi kan logga in i vissa tjänster endast från vårt kontors ip-adress och ifall du är på resa ska du använda VPN-förbindelse. Dessutom har vi förtydligat vem som verkligen kommer åt vilken uppgift och begränsat onödiga tillträdesrättigheter.
Hur förverkligas dokumentationen av verksamhetsåtgärder i småföretag? Finns det kriterier om vad som t.ex. dokumenteras gällande HR:s verksamhetsåtgärder eller är dokumentationen fritt formulerad?
Frågan handlar om hur dataskyddsprocesserna registreras och dokumenteras. Det finns inget tydligt svar på den här frågan och krav åtskiljs inte i regel beroende på företagets storlek utan bakgrunden till all reflektion bör alltid vara förståelse för risken i samband med ifrågavarande personinformation. Å andra sidan, ju mindre företag desto färre processer finns det, desto mindre information samlas in och desto färre människor finns det som kan få tillgång till informationen.
Hur ska GDPR tas i beaktande om företaget är registrerat utanför EU?
Ifall företaget inte är registrerat i EU (det alltså inget kontor mm.) men betjänar kunder inom EU och EU-medborgare berörs dessa företag på samma sätt av GDPR.
Förknippas överlåtelse alltid med pengar (informationen säljs vidare)? Kan man även överlåta data gratis (om det informerats i registerbeskrivningen)? Jämför: offentlig förvaltning.
Överlåtelse handlar inte om pengar. Information får överlåtas ifall detta anges i dataskyddsbeskrivningen och personen har godkänt detta. Den offentliga förvaltningen omfattas säkert också av lagstadgade skyldigheter för överlåtelse av data från en aktör till en annan (t.ex. arbetsgivaren är skyldig att överlåta personuppgifter till skattemyndigheten) och till detta behövs inte separat tillåtelse.
Insamling av personbeteckningar i en Excel-tabell och anmälan till skattemyndigheten: dagpenning och km-ersättning betalas?
Här undrar man antagligen om det är frågan om ett personregister eller ej. Ja, det är det eftersom teknologin inte bestämmer om data bildar ett personregister utan det är registrets innehåll som bestämmer det. Det är bra att fundera om det finns en säkrare metod att samla och överföra data än i en Excel-lista, särskilt om listan innehåller en stor mängd känslig persondata.
Hur definieras en B2B-kund? Om kunden är ett stort företag, hur begränsas företagets arbetstagare, vem får man ha i kundregistret?
B2B-handel innebär att juridiska personer idkar handelsverksamhet med varandra. Det vill säga en organisation köper av eller säljer till en annan. Frågan handlar dock om att i vilket skede ett personregister bildas. Om jag i CRM-systemet bara har företagens namn och fo-nummer så skapas inget personregister. När jag å andra sidan har samlat in t.ex. avtalskontaktpersonernas uppgifter dit så skapas ett personregister. I registret får du ha sådan persondata som behövs för att t.ex. uppfylla dina skyldigheter. Dessa kan t.ex. vara personer inom ekonomiförvaltningen, köpare, kontaktperson, produktanvändare osv. Men kom ihåg att du kan samla in och spara information om dem som är väsentlig för att uppfylla di
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.