meny

Dataskyddsförordningen (GDPR)

Här hittar du svar på vanliga frågor vi brukar få om Dataskyddsförordningen (GDPR).

Corona och GDPR

  • Vad är personuppgifter om hälsa?

    Personuppgifter om hälsa är alla uppgifter som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

    Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter, men det finns vissa undantag från förbudet.

    Här kan du läsa mer om känsliga personuppgifter.

  • Vilka rättigheter har den enskilda?


    Dataskyddsförordningen ger vissa rättigheter till dem vars personuppgifter behandlas (de registrerade), bland annat rätt till information och rätt till registerutdrag. Rättigheterna omfattar även hälsouppgifter.

    Här kan du läsa mer om de registrerades rättigheter.

  • Får jag som arbetsgivare informera anställda om att en kollega kan ha smittats av coronaviruset?

    Arbetsgivaren ska vidta alla åtgärder som behövs för att förbygga att arbetstagare utsätts för ohälsa. I normalfallet borde det gå att informera de anställda som behöver informationen utan att nämna namnet på kollegan som eventuellt smittats. Endast i undantagsfall bör det vara nödvändigt att tala om vem den drabbade är. Om arbetsgivaren bedömer att det, på grund av exempelvis skyldigheter inom arbetsrätten, är absolut nödvändigt att avslöja vem som smittats ska den anställda i fråga informeras om detta i förväg.

    Arbetsgivaren bör också vidta åtgärder för att skydda den anställdas integritet. Informationen som lämnas ska alltid vara saklig och korrekt och får inte vara kränkande för den anställda som berörs. Som alltid gäller att du inte ska registrera eller lämna ut fler uppgifter än vad som är nödvändigt för att uppnå syftet. Utöver dataskyddsreglerna finns det regler om tystnadsplikt och sekretess som kan påverka vilka uppgifter om anställdas sjukdom som en arbetsgivare får lämna ut.

  • Får vi sprida informationen om att en anställd arbetar hemma efter att hen varit utomlands/i ett riskområde?

    Det är tillåtet att informera internt om att en anställd arbetar hemifrån och om hur hen kan nås. Datainspektionen rekommenderar dock att ni som arbetsgivare inte uppger orsaken. När det gäller att informera personer utanför organisationen, bör arbetsgivaren noga överväga vilka som behöver få informationen och inte heller då ange orsaken.

    Om en anställd arbetar hemifrån bör arbetsgivaren i samråd med den anställda bestämma hur kontaktuppgifter kan förmedlas till utomstående på ett integritetsvänligt sätt.

  • Vad ska vi svara utomstående som söker en anställd som inte är i tjänst på grund av coronaviruset?

    Meddelandet till utomstående som vill kontakta anställda som är smittade och i karantän bör i princip vara att den anställda i fråga är frånvarande eller inte tillgänglig. 

  • Får vi samla in kontaktuppgifter till närmast anhöriga från våra anställda?

    Både arbetsgivare och anställda har ofta ett intresse av att arbetsgivaren ska kunna ta kontakt med en nära anhörig till den anställda vid olyckshändelse eller sjukdom under arbetstid. Datainspektionen anser att arbetsgivaren för det ändamålet får behandla kontaktuppgifter till anhöriga med stöd av en intresseavvägning eller, om arbetsgivaren är en myndighet, ett allmänt intresse.

  • Hur länge får vi spara uppgifter?

    Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. När ändamålen med en viss behandling är uppfyllda är huvudregeln att uppgifterna i fråga ska avidentifieras eller utplånas.

  • Får vi mäta arbetstagares kroppstemperatur?

    Att mäta enskildas kroppstemperatur är ett betydande integritetsintrång. Att bedöma arbetsgivares rätt att göra kontroller och arbetstagares skyldighet att genomgå kontrollerna styrs dock i huvudsak av arbetsrättsliga regler och omfattas inte av Datainspektionens befogenheter som tillsynsmyndighet.

    Om en arbetsgivare väljer att registrera personuppgifter från kontrollen, till exempel i ett it-baserat besökssystem, omfattas däremot den behandlingen av dataskyddsförordningen och därmed Datainspektionens befogenheter som tillsynsmyndighet. En sådan registrering av personuppgifter är normalt inte tillåten.

  • Får vi som arbetsgivare ensidigt bestämma om anställda måste arbeta hemifrån eller på kontoret med anledning av coronaviruset?

    Frågor om ifall en arbetsgivare får kräva eller förbjuda att anställda arbetar hemifrån är inte en dataskyddsfråga. Den faller därmed utanför Datainspektionens verksamhetsområde.

  • Är det möjligt att ha ett livevideomöte med en patient?

    Det finns regler om säkerhetsåtgärder vid behandling av personuppgifter om patienter. Reglerna finns i GDPR, patientdatalagen och Socialstyrelsens föreskrifter HSLF-FS 2016:40.

    Reglerna ålägger personuppgiftsansvariga och personuppgiftsbiträden att vidta ett antal säkerhetsåtgärder när personuppgifter behandlas via t.ex. öppet nät. Det handlar framför allt om att skydda patientuppgifter från obehörigt röjande och obehörig åtkomst genom t.ex. kryptering och säker inloggning.
    Innan en personuppgiftsbehandling påbörjas är det alltid viktigt att ta fram en process och analysera dels hur patientuppgifterna överförs mellan olika aktörer, dels hur uppgifterna behandlas i och överförs mellan olika it-system. En sådan analys är relevant för att kunna bedöma om säkerhetskraven kan uppfyllas med livevideosystemet.

    Det är vårdgivaren och vårdgivarens personuppgiftsbiträde som behöver göra flödes- och säkerhetsanalyserna och dokumentera bedömningar och beslut. Notera att om servrar som hanterar patientuppgifter finns i ett land utanför EU/EES-området behöver GDPR:s bestämmelser om tredjelandsöverföringar följas.

  • Får man livesända skolavslutningar?

    Vad gäller för skolavslutningar och studentutspring år 2020? Vad ska den personuppgiftsansvariga tänka på om avslutningen livesänds?
    Ja, det kan i den nu rådande Covid 19-situationen vara förenligt med dataskyddsförordningen (GDPR). Det krävs då att man tänkt igenom kraven på integritetsskydd och anpassat filmningen bland annat till kraven på uppgiftsminimering. Andra krav är att man undviker behandling av känsliga uppgifter, tänker på det särskilda skyddsbehov som gäller för barn och proportionaliteten och vidtar tillräckliga säkerhetsåtgärder. Läs mer om vad som gäller enligt GDPR.

Personuppgiftsincidenter

  • Ska vi anmäla alla personuppgiftsincidenter till Datainspektionen?

    Nej, inte alla. Om det är osannolikt att incidenten medför en risk för fysiska personers fri- och rättigheter, ska de inte anmälas till oss. Även om ni bestämmer er för att inte anmäla incidenten måste ni kunna motivera beslutet och dokumentera detta.
    Läs mer om när du ska anmäla en personuppgiftsincident

  • När ska vi anmäla personuppgiftsincidenten?

    Huvudregeln är inom 72 timmar från upptäckt, därefter kan ni komplettera den information som saknas så snart som möjligt.

  • Jag har polisanmält ett dataintrång. Ska jag trots detta anmäla incidenten till Datainspektionen?

    Ja, även om du har anmält ett misstänkt dataintrång till polisen ska du anmäla incidenten till oss. Om du har anmält dataintrånget till polisen bör du upplysa oss om detta.

  • När kommer ni att börja granska personuppgiftsincidenter?

    Vi går igenom samtliga anmälningar som kommer in till oss. Om det kommer in anmälningar som rör allvarliga personuppgiftsincidenter som exempelvis inte har åtgärdats av den personuppgiftsansvariga, eller att åtgärdsplan saknas, kan vi komma att genomföra tillsyn.
    Hur vi arbetar med tillsyn

  • Vad innebär obehörigt röjande?

    Den personuppgiftsansvariga, det vill säga någon inom en organisation, har felaktigt spridit eller publicerat personuppgifter internt eller externt. Detta har medfört att mottagare som inte får ta del av personuppgifterna, kan ta del av dessa. Det krävs inte att någon faktiskt har tagit del av personuppgifterna för att det ska ha inträffat ett obehörigt röjande, utan incidenten består av själva "röjandet av uppgifter". Enkelt förklarat har någon "röjt personuppgifter som inte skulle röjas".

  • Vad innebär obehörig åtkomst?

    Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång. Obehörig åtkomst kan vara intern eller extern, och kan ske oavsiktligt eller avsiktligt.

    Att någon tekniskt har behörighet till personuppgifter i ett it-system innebär inte nödvändigtvis att personen även har befogenhet att ta del av alla personuppgifter i it-systemet. Om personen tar del av personuppgifter som den inte har rätt att ta del av – genom att den tekniska behörigheten gjorts vidare än den egentliga befogenheten – innebär detta att en obehörig åtkomst har skett.
    Anledningen till detta kan vara att den personuppgiftsansvariga inte tekniskt har begränsat personalens behörighet till personuppgifter i it-systemet.

  • Ska personuppgifterna krypteras?

    I dag är vi – både privat och på arbetet – uppkopplade mot internet dygnet runt. Om personuppgifter som inte är krypterade görs åtkomliga via internet, innebär detta att även "fel personer" kan komma att ta del av dessa uppgifter. Uppgifterna kan alltså hamna i "orätta händer".

    Eftersom vi dagligen använder oss av olika arbetsredskap – bland annat datorer, mobila enheter (till exempel smarta telefoner, surfplattor) och USB-minnen - måste den personuppgiftsansvariga fundera kring vilka personuppgifter som behöver krypteras. Alla personuppgifter behöver inte vara krypterade, men den personuppgiftsansvariga bör se över om vissa uppgifter behöver krypteras.

  • Spelar det någon roll vilken krypteringsmetod vi använder – är alla lika säkra?

    Det finns olika krypteringsmetoder som är mer eller mindre säkra. Ni måste därför försäkra er om vilken typ av metod ni använder och vilka uppgifter ni ska skydda med krypteringen.

  • Hur gör Datainspektionen sin sekretessprövning när anmälningar om personuppgiftsincidenter begärs ut som allmänna handlingar?

    Vilka regler som gäller för sekretessbedömningen hos Datainspektionen – när det gäller en anmälan om personuppgiftsincidenter – finns behandlat i prop. 2017/18:105 s. 129. Där framgår att redan uppgift om ingivarens identitet typiskt sett är känslig.

  • Kan jag som registrerad (privatperson) anmäla en personuppgiftsincident till Datainspektionen?

    Nej, en privatperson kan inte anmäla en personuppgiftsincident till oss. Det är bara en personuppgiftsansvarig som kan göra det. Däremot kan du som privatperson skicka in ett klagomål till oss, om du anser att du har blivit drabbad av en personuppgiftsincident. Du kan även tipsa oss om att en misstänkt personuppgiftsincident har skett.
    Läs mer om hur du som privatperson lämnar ett klagomål

Säkerhetsåtgärder

  • Vilka säkerhetsåtgärder måste vi som företag vidta?

    Dataskyddsförordningen (GDPR) innehåller inga uttryckliga krav på specifika säkerhetsåtgärder som ett företag måste vidta. GDPR ställer krav på lämpliga säkerhetsåtgärder som ger en lämplig säkerhetsnivå. Vilka säkerhetsåtgärder och vilken säkerhetsnivå som är lämpliga beror på ett antal faktorer. Det handlar bland annat om vilka uppgifter som behandlas, i vilken omfattning de behandlas, på vilket sätt de behandlas och vilka risker för den registrerades fri- och rättigheter som uppstår vid behandlingen. Dessutom ska man vid bedömningen av säkerhetsåtgärdernas lämplighet ta hänsyn till kostnaderna för åtgärderna och den senaste utvecklingen inom teknik- och säkerhetsområdet. Generellt kan man säga ju högre riskerna är desto högre nivå på säkerhet krävs för att minska de identifierade riskerna i så hög grad som möjligt.

  • Är det förbjudet att skicka personuppgifter via e-post?

    Nej, Den personuppgiftsansvariga måste dock se till att man har en lämplig säkerhetsnivå för personuppgiftsbehandlingen. Bedömningen av vilken nivå av säkerhet som krävs ska göras med hänsyn till hur många personuppgifter man behandlar, för vilket ändamål, vilka typer av uppgifter det rör sig om samt vilka risker det finns med behandlingen för den enskilda.

    Det finns särskilda risker med hantering av personuppgifter i e-post. Därför bör exempelvis känsliga och integritetskänsliga personuppgifter inte skickas via oskyddad e-post.
    Läs mer om e-posthantering

  • Kan vi skicka lönespecifikationer via e-post om den anställda samtycker till det?

    Nej. De anställda kan inte samtycka till otillräcklig säkerhet. Den personuppgiftsansvariga måste därför se till att vidta tillräckliga åtgärder för att uppfylla kraven på en lämplig säkerhetsnivå vid hantering av personuppgifter i e-post.
    I lönespecifikationer kan det finnas känslig information som till exempel sjukfrånvaro (uppgifter om hälsa) eller facktillhörighet, men även integritetskänsliga uppgifter som personnummer och löneuppgifter.

    Datainspektionen rekommenderar därför att överföring av anställdas känsliga och integritetskänsliga personuppgifter sker på säkrare sätt än via oskyddad e-post, till exempel via en portal eller liknande där anställda kan logga in för att se sin lönespecifikation eller att informationen krypteras. Om det saknas en tillräckligt säker digital kommunikationskanal, bör lönespecifikationer inte skickas digitalt då det alltid finns en risk för att andra än den avsedda mottagaren kan ta del av meddelandet.
    Läs mer om lönespecifikationer via e-post

  • Måste vi använda dold kopia funktionen när vi skickar e-post till flera?

    Datainspektionen rekommenderar att man använder sig av funktionen dold/hemlig kopia när man skickar ett e-postmeddelande till flera mottagare, om det inte av någon anledning är nödvändigt att samtliga mottagare får veta vilka som har tagit emot meddelandet. Det är för att inte sprida fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet.

  • Är det tillåtet att skicka känsliga personuppgifter med vanlig post eller måste vi skicka rekommenderat?

    Det är upp till den personuppgiftsansvariga att bedöma med beaktande av risken med den specifika behandlingen. Ju känsligare uppgifter, desto större blir riskerna och därmed ökar kraven på säkerhet.

  • Jag har begärt ett registerutdrag/radering/rättelse men de kräver att jag identifierar mig. Får de göra det?

    Det finns krav på att den som behandlar personuppgifter måste vidta lämpliga säkerhetsåtgärder för att säkerställa att personuppgifter inte till exempel kommer någon obehörig tillhanda. Om ett företag har rimliga skäl att betvivla identiteten kan företaget begära in kompletterande information så att en identifiering kan ske.

    Företaget måste dock samtidigt se till att inte samla in fler personuppgifter än vad som är nödvändigt för att kunna göra denna identifiering. En proportionalitetsbedömning bör därför göras, så att identifieringen inte leder till en ny, onödig behandling av personuppgifter.

  • Kan ett företag eller myndigheten kräva att jag identifierar mig med Bank-ID?

    Det finns inget generellt förbud mot att ha Bank-ID som verktyg för identifiering. Det är varje organisations ansvar att ha en säkerhetsnivå som är lämplig i förhållande till risken som behandlingen medför. Den personuppgiftsansvariga bör göra en lämplighetsbedömning för hanteringen av personuppgifter inom verksamheten. Utifrån analysen bestäms vilka lämpliga åtgärder som behöver vidtas för att minska identifierade risker för den enskildes integritet.

Rätt till borttagning av sökträffar

  • Vad är rätt till borttagning av sökträffar?

    Rätt till borttagning av sökträffar innebär att du kan begära att en sökmotor tar bort sökträffar som visas i sökresultatet när någon söker på ditt namn. Det är bara sökträffarna hos sökmotorn som påverkas. Informationen på webbplatsen som sökträffen leder till påverkas inte utan är fortfarande tillgänglig med hjälp av andra sökkriterier eller genom att gå direkt in på den webbplatsen.

  • Hur utövar jag denna rätt?

    Du utövar din rätt till borttagning av sökträffar genom att kontakta sökmotorn. Det kan du göra genom att fylla i det formulär som sökmotorn själv tagit fram, skicka e-post eller brev.

    Formulär för borttagning hos Google

    Formulär för borttagning hos Bing

    För att sökmotorn ska kunna ta ställning till din begäran måste du ange vilka sökträffar din begäran gäller. Du ska också ange dina skäl till varför du anser att sökträffarna ska tas bort. Sökmotorn ska hantera din begäran utan onödigt dröjsmål och senast inom en månad.

  • Ska en sökmotor alltid acceptera min begäran?

    Nej, en sökmotor kan i vissa fall avslå din begäran. Sökmotorn ska göra en avvägning mellan å ena sidan din rätt till skydd av ditt privatliv och dina personuppgifter och å andra sidan internetanvändarnas rätt till information. Om du har en roll i det offentliga livet eller är en offentlig person kan det vara svårare att få dina uppgifter borttagna. En roll i det offentliga livet kan till exempel vara att du är politiker, högre offentlig tjänsteman, affärsman, advokat eller läkare. Då kan allmänheten behöva få tillgång till information som är relevant för hur du utövar din roll. Du anses vara en offentlig person om du på grund av din verksamhet har en viss grad av medieexponering, inom till exempel ekonomi, konst, teater, sport eller något annat område.

  • Hur avgör en sökmotor om en sökträff ska tas bort?

    När du begär att en sökträff ska tas bort ska sökmotorn först ta ställning till om sökträffen kan knytas till dig som person och visas vid sökning på ditt namn. I så fall ska sökmotorn göra en sammanvägd bedömning utifrån ett antal kriterier. Bedömningen ska göras utifrån läget vid tidpunkten för begäran om borttagning.

    Omständigheter som talar för att en sökträff ska tas bort är exempelvis:

    • om du är minderårig eller var minderårig när uppgifterna publicerades
    • om en domstol funnit att uppgifterna är brottsliga yttranden som förtal 
    • om sökträffen leder till känsliga personuppgifter som uppgifter om hälsa eller politiska åsikter 
    • om sökträffen leder till brottsuppgifter som dom i brottmål eller åtal 
    • om sökträffen leder till uppgifter som gör att du riskerar att utsättas för identitetstöld eller stalking 
    • om sökträffen har betydande negativa konsekvenser för dig, exempelvis påverkar dina möjligheter att få ett arbete.

    Omständigheter som talar emot att en sökträff ska tas bort är exempelvis:

    • om du har en roll i det offentliga livet eller är en offentlig person 
    • om uppgifterna är korrekta, relevanta och aktuella 
    • om uppgifterna avser ditt arbetsliv 
    • om uppgifterna publicerades för journalistiska ändamål 
    • om det var du själv som offentliggjorde uppgifterna.

    Att en sökträff leder till påhopp och otrevliga kommentarer om dig innebär inte nödvändigtvis att den ska tas bort om det samtidigt tydligt framgår att det är fråga om någons personliga åsikter. Sammanhanget i stort spelar också roll. Uppgifter som publicerats på ett diskussionsforum har exempelvis inte samma trovärdighet i allmänhetens ögon som uppgifter som publicerats i en etablerad tidning.

  • Ska sökträffar som innehåller känsliga personuppgifter alltid tas bort?

    Känsliga personuppgifter, till exempel om etniskt ursprung, politiska åsikter, hälsa, sexualliv, sexuell läggning med mera har ett starkare skydd då behandling av sådana personuppgifter kan innebära ett särskilt allvarligt ingrepp i din rätt till skydd av ditt privatliv och dina personuppgifter.

    Känsliga personuppgifter

    Om en sökträff leder till känsliga uppgifter om dig är sökmotorn i princip skyldig att bevilja din begäran. Det finns några undantag från detta, bland annat om det är du själv som har offentliggjort uppgifterna eller om det är strikt nödvändigt att sökträffen visas för att skydda internetanvändarnas informationsfrihet i allmänhet. Frågan om det ska anses vara strikt nödvändigt i ett visst fall beror på uppgifternas art och hur känsliga de är för ditt privatliv och allmänhetens intresse av att få tillgång till informationen genom en sökning på ditt namn. Detta kan variera beroende på om du har en roll i det offentliga livet eller är en offentlig person.

  • Ska sökträffar som gäller uppgifter om brott alltid tas bort?

    Uppgifter om brott har ett starkt skydd. Sökträffar till uppgifter om brott ska därför alltid tas bort om de inte är strikt nödvändiga för att skydda informationsfriheten.

    Personuppgifter som rör lagöverträdelser

    Om det rör ett mindre allvarligt brott som du begått för länge sedan talar det för att en sökträff ska tas bort. Om det gäller ett mer allvarligt brott som du begått nyligen talar det emot att en sökträff ska tas bort. Om det gäller uppgifter om ett tidigare skede i ett brottmål mot dig som inte längre återspeglar den aktuella situationen, till exempel då du senare har frikänts i domstol, ska sökmotorn ta ställning till:

    • brottets art och allvarlighetsgrad
    • handläggningen och utgången av förfarandet 
    • den tid som förflutit 
    • den roll som du eventuellt har i det offentliga livet 
    • hur du agerat tidigare 
    • allmänhetens intresse vid tidpunkten för din begäran 
    • innehållet i och formen för publiceringen 
    • vilka konsekvenser publiceringen har för dig.

    Om sökmotorn anser att det är strikt nödvändigt att fortsätta visa en sökträff trots att den leder till uppgifter som inte längre återspeglar den aktuella situationen, är sökmotorn ändå skyldig att ordna sökresultatet så att webbsidor med aktuell information visas överst i listan.

  • Tas sökträffarna bort globalt?

    Nej, sökträffarna tas endast bort i de versioner av sökmotorn som motsvarar EU/EES-medlemsstaternas landsdomäner (till exempel .se). Sökmotorn ska däremot vidta tillräckligt effektiva åtgärder för att hindra EU:s internetanvändare från att använda andra versioner av sökmotorn för att få tillgång till sökträffar som tagits bort (till exempel .com).

  • Vad kan jag göra om sökmotorn avslår min begäran?

    Om sökmotorn avslår din begäran kan du lämna in ett klagomål till Datainspektionen. Då gör vi en bedömning av om det finns anledning att inleda en tillsyn mot sökmotorn.
    Klagomål  och tips
    Tillsyn

    Enskild talan i allmän domstol

    Om du anser att sökmotorns beslut är felaktigt och strider mot dataskyddsförordningen kan du väcka talan vid allmän domstol, en tvist. Datainspektionen kan inte hjälpa till med en sådan talan.
    Läs mer om tvister på Sveriges domstolar
    Skadestånd enligt dataskyddsförordningen

  • Vad gör Datainspektionen?

    Datainspektionens utgångspunkt är att alla personuppgiftsansvariga ska kunna göra rätt och hantera alla begäranden korrekt. Vi övervakar att sökmotorer och andra personuppgiftsansvariga uppfyller sina skyldigheter enligt dataskyddsförordningen, bland annat att de har rutiner för att hantera begäranden från enskilda på ett lämpligt sätt och att rutinerna följs. Datainspektionen prövar dock inte om en sökmotor har gjort en korrekt avvägning i varje enskilt fall.
     

Sociala medier

  • Är jag ansvarig för det jag publicerar på sociala medier?

    Ja, som utgångspunkt är den som publicerar något i sociala medier att betrakta som personuppgiftsansvarig för den personuppgiftsbehandling som publiceringen innebär. Företaget som tillhandahåller plattformen kan också vara personuppgiftsansvarig om företaget har möjlighet att påverka eller bestämma över inläggen.

    I vissa fall kan en publicering omfattas av det så kallade privatundantaget. Enligt privatundantaget i GDPR ska dataskyddsreglerna inte tillämpas på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Datainspektionens uppfattning är att om man som privatperson publicerar personuppgifter för en bredare krets, till exempel genom att publicera bilder eller annat i sociala medier, så är det inte att anse som en behandling av rent privat natur. Det innebär att privatundantaget inte gäller och att du som publicerar blir personuppgiftsansvarig för behandlingen.

  • Kan vi publicera bilder från ett event på våra sociala medier?

    För att kunna publicera bilder från ett event där personer kan identifieras på sociala medier behöver ni ha stöd i en rättslig grund och beakta de grundläggande principerna.
    Läs mer om publicering av bilder

  • Måste jag ha samtycke för att publicera bilder på sociala medier?

    Nej, det finns inget absolut krav att man måste ha ett samtycke från de personer som exempelvis finns på ett foto innan det publiceras. Intresseavvägning är en annan rättslig grund som kan bli aktuell när man publicerar personuppgifter på sociala medier.

    Den registrerade har dock rätt att göra en invändning och då måste den personuppgiftsansvariga göra en ny intresseavvägning för att se vilket intresse som väger tyngst. Om den enskildas rätt till personlig integritet väger tyngst ska personuppgiftsbehandlingen upphöra.

    Extra försiktighet ska iakttas vid en intresseavvägning när det handlar om personuppgifter som rör barn. Man måste ta hänsyn till att barns personuppgifter kräver särskilt skydd och se till att barnets rättigheter är väl skyddade.

  • Jag har blivit uthängd på sociala medier, vad kan jag göra?

    På vår webbplats har vi samlat information om vad du kan göra om du vill få bort uppgifter som finns i sociala medier. Vad du kan göra vid oschysst behandling på nätet.

    Om publiceringen är kränkande eller skadlig ska du vända dig till polisen och göra en polisanmälan. Det kan röra sig om brotten förtal, förolämpning eller trakasserier.

     

Föreningar

  • Är en förening skyldig att lämna ut sitt medlemsregister till en medlem som begär det?

    Nej, till skillnad från offentliga myndigheter som måste tillämpa offentlighetsprincipen har inte privata företag, föreningar eller stiftelser någon skyldighet att lämna ut sitt medlemsregister.

    Däremot har den registrerade rätt enligt dataskyddsförordningen att få ett registerutdrag över vilka uppgifter som finns registrerade om sig själv.

    Tänk också på att det kan finnas särskilda bestämmelser som man måste ta hänsyn till, exempelvis lagen om ekonomiska föreningar. För sådana föreningar ska medlemsförteckningen hållas tillgänglig hos föreningen för var och en som vill ta del av den.

  • Är det tillåtet att skicka ut medlemsregister till medlemmar via e-post?

    För att det ska vara tillåtet att skicka ut medlemsregistret måste man ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund kan vara samtycke från medlemmen. Man bör ta hänsyn till att en medlem kanske inte vill att hens uppgifter sprids till övriga medlemmar via e-post. Det kan exempelvis finnas medlemmar som har skyddad adress eller hemligt telefonnummer. Det krävs även att medlemmarna fått information om att medlemsregistret kan komma att skickas ut.

    Dessutom är det viktigt att tänka på säkerhetsaspekterna. Enligt dataskyddsförordningen ska den som behandlar personuppgifter vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Man bör överväga om det är nödvändigt att genom exempelvis kryptering förhindra att uppgifter kan läsas eller förvanskas av någon annan än den avsedda mottagaren när man ska skicka något med e-post.

  • Får en idrottsförening publicera sitt medlemsregister på internet?

    För att det ska vara tillåtet att publicera ett medlemsregister på internet måste man ha ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund kan vara samtycke från medlemmen. Datainspektionens erfarenhet är att många medlemmar inte vill att deras adresser och telefonnummer ska publiceras på Internet. Ofta krävs det att medlemmarna i föreningen först ger sitt godkännande innan deras uppgifter kan publiceras på internet. I så fall måste föreningen alltså först fråga om lov.

    Även i situationer där man har ett annat lagligt stöd för att publicera medlemsregistret rekommenderar vi att man frågar medlemmarna om lov först. För barn yngre än 13 år krävs att samtycket lämnas av vårdnadshavaren eller att barnets samtycke godkänns av denne.

     

Tredjelandsöverföring

Skadestånd

Utgivningsbevis

  • Kan jag kräva att uppgifter om mig på Mrkoll, Eniro, Hitta.se, Lexbase, Ratsit och Merinfo tas bort?

    Nej. Sajter som MrKoll, Eniro, Hitta, Lexbase, Ratsit och Merinfo, med flera har något som kallas för utgivningsbevis. Det gör att sajterna inte påverkas av dataskyddsförordningens bestämmelser, vilket gör att Datainspektionen inte kan hjälpa dig.

    Det du kan göra är att vända dig till webbplatsen ifråga och be att dina uppgifter tas bort. Men om webbplatsen har ett utgivningsbevis så har de rätt att publicera uppgifterna och behöver inte ta bort dem, även om du skulle begära det.

  • Hur vet jag om en sajt har utgivningsbevis?

    Det kan du ta reda på. Det är Myndigheten för press, radio- och tv som beviljar utgivningsbevisen. På deras webbplats finns en sökfunktion som du kan använda. Du kan till exempel markera att du vill söka efter utgivningsbevis och sedan skriva in en webbadress i fältet "Domänadress".
    Sök efter utgivningsbevis hos Myndigheten för press, radio och tv.

  • Vad kan jag själv göra för att ta bort mina uppgifter?

    Dina möjligheter är mycket små att själv ta bort uppgifter som visas på exempelvis Eniro, Ratsit, Merinfo med flera.

    Ett sätt är att kontakta Skatteverket och ansöka om skyddade personuppgifter men det beviljas enbart om du är utsatt för ett allvarligt och konkret hot.

    Du kan också kontakta din telefonoperatör och ange att ditt nummer ska vara dolt för nummerupplysningstjänster. Då visas inte ditt telefonnummer på dessa sajter, men alla andra uppgifter om dig kommer att visas även i fortsättningen.

  • Ska jag ändå klaga till Datainspektionen?

    Nej. Tyvärr har vi inga möjligheter att få den typen av sajter att ta bort information om dig om du skickar ett klagomål till oss.

    För att lämna synpunkter angående lagstiftningen kring utgivningsbevis och offentlighetsprincipen rekommenderar Datainspektionen att du vänder dig till lagstiftaren, i det här fallet Konstitutionsutskottet. De ansvarar för att bereda frågor av konstitutionell och förvaltningsrättslig betydelse.

Radering (rätten att bli bortglömd)

  • Vad innebär rätt till radering av personuppgifter?

    Rätt till radering av personuppgifter innebär att du kan begära att  personuppgiftsansvariga, exempelvis företag, föreningar, myndigheter eller andra organisationer, tar bort de personuppgifter de behandlar om dig.

  • Hur gör jag för att få mina personuppgifter raderade?

    För att få dina personuppgifter raderade kontaktar du företag, föreningar, myndigheter eller organisationer som behandlar dina uppgifter. Du kan med fördel kontakta deras dataskyddsombud, om de har ett sådant. Myndigheter är skyldiga att ha ett dataskyddsombud.

  • Är företag eller myndigheter skyldiga att radera mina personuppgifter när jag begär det?

    Nej, företag eller myndigheter kan i vissa fall avslå din begäran om de har en rättslig grund för att fortsätta behandla dina personuppgifter. De ska i så fall motivera skälet till att de inte raderar dina uppgifter.

    Det finns även undantag från rätten till radering. Det gäller bland annat behandling av personuppgifter som är nödvändig för journalistiska ändamål och för arkivändamål.

  • I vilka fall är företag eller myndigheter skyldiga att radera mina personuppgifter när jag begär det?

    I följande fall ska dina personuppgifter alltid raderas när du begär det:

    • om dina personuppgifter inte längre behövs för de ändamål som de samlats in för,
    • om behandlingen grundar sig på ditt samtycke och du återkallar samtycket och det inte finns någon annan rättslig grund för behandlingen,
    • om behandlingen sker för direktmarknadsföring och du motsätter dig att uppgifterna behandlas,
    • om du motsätter dig personuppgiftsbehandling som görs efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än ditt intresse,
    • om personuppgifterna har behandlats olagligt,
    • om personuppgifterna avser barn och har samlats in i samband med att barnet skapat en profil i ett socialt nätverk.

  • Hur lång tid har företag eller myndigheter på sig att besvara min begäran om radering?

    Personuppgiftsansvariga ska besvara din begäran utan onödigt dröjsmål, dock senast inom en månad. Om de inte tänker radera dina personuppgifter ska de motivera varför.

    Tidsperioden får vid behov förlängas med ytterligare två månader. Det beror bland annat på hur komplicerad din begäran är. Personuppgiftsansvariga ska underrätta dig om en sådan förlängning inom en månad från det att begäran mottagits och ange orsakerna till förseningen.

  • Kan jag kontrollera att företag eller myndigheter har raderat mina personuppgifter?

    Du kan begära ett registerutdrag. Läs mer om registerutdrag och hur du begär det här: 
    Registerutdrag