meny

Vanliga frågor och svar

Här har vi samlat vanliga frågor och svar som berör dataskyddsområdet.

  • 1. Ett företag vill att jag ska uppge mitt personnummer. Måste jag göra det?

    För att det ska vara lagligt att behandla ditt personnummer krävs det som huvudregel att du har lämnat ditt samtycke till detta, vilket alltid ska vara frivilligt. Det kan vara lagligt att behandla ditt personnummer även utan ditt samtycke, men då ska det vara klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Om en personuppgiftsansvarig, till exempel ett företag, vill behandla ditt personnummer utan ditt samtycke måste de kunna motivera att något av dessa undantag verkligen gäller i den aktuella situationen. 
    Läs mer om samtycke här

  • 2. Behöver jag tillstånd för att sätta upp en kamera?

    Om du är privatperson, en förening eller ett företag som håller på med vanlig näringsverksamhet behöver du sannolikt inte ansöka om tillstånd. 
    Läs mer om tillstånd för kamerabevakning här

    Däremot, har du eller exempelvis företaget ansvar för att se till att ni följer kamerabevakningslagen och dataskyddsförordningen, GDPR, när ni använder er av bevakningskameror. 
    Läs mer om kamerabevakningslagen här

  • 3. Jag har begärt att ett företag ska radera mina uppgifter men de vägrar. Vad gäller?

    I dataskyddsförordningen, GDPR, finns en rätt att få sina uppgifter raderade om man begär det. Men det är viktigt att komma ihåg att den inte är ovillkorlig. Den gäller till exempel inte om den personuppgiftsansvarige, till exempel ett företag eller en myndighet, måste behandla dina personuppgifter enligt lagkrav, eller om det finns tvingande berättigade skäl som väger tyngre än ditt eget intresse. En personuppgiftsansvarig måste alltid kunna motivera varför man anser att vissa uppgifter inte ska raderas på begäran. Om du tror att exempelvis ett företag inte raderar dina uppgifter trots att de borde göra det, kan du skicka in ett klagomål till Datainspektionen. 
    Läs mer om rätten till att radera uppgifter här

  • 4. Hur länge får vi spara personuppgifter?

    Om ni behandlar personuppgifter får ni bara spara dem så länge som de behövs för ändamålet med personuppgiftsbehandlingen. Det beror alltså helt på för vilket ändamål ni har samlat in uppgifterna och det är ni som personuppgiftsansvariga som ska göra en bedömning av hur länge materialet får bevaras. När personuppgifterna inte längre behövs för ändamålet ska ni radera eller avidentifiera dem. I vissa fall måste ni spara handlingar med personuppgifter även efter att ni slutat använda dem. Det gäller till exempel bokföring, där bokföringslagen ställer krav på hur länge vissa uppgifter ska sparas. Även i dessa fall måste dock uppgifterna vara kopplade till ett tydligt ändamål. 
    Läs mer om lagringsminimering här

  • 5. Ska vi anmäla alla personuppgiftsincidenter?

    Det är upp till den personuppgiftsansvariga att avgöra om en personuppgiftsincident är av en sådan karaktär att den ska anmälas till Datainspektionen eller inte. Ni ska anmäla incidenter som inte osannolikt kan leda till hög risk för fysiska personers fri- och rättigheter. Om incidenten är tillräckligt allvarlig ska organisationen dessutom informera alla berörda personer om vad som har hänt och vilka åtgärder de själva kan vidta för att skydda sig. 

    Det är endast personuppgiftsansvarig som kan anmäla personuppgiftsincidenter till Datainspektionen. Om du som privatperson anser att du har blivit drabbad av en personuppgiftsincident kan du skicka in ett klagomål till oss eller lämna ett tips om en misstänkt personuppgiftsincident. 
    Läs mer om personuppgiftsincidenter här

  • 6. Är jag ansvarig för det jag publicerar i sociala medier?

    Ja, som utgångspunkt är den som publicerar något i sociala medier att betrakta som personuppgiftsansvarig för den personuppgiftsbehandling som publiceringen innebär. Företaget som tillhandahåller plattformen kan också vara personuppgiftsansvarigt om företaget har möjlighet att påverka eller bestämma över inläggen. 

    I vissa fall kan en publicering omfattas av det så kallade privatundantaget. Enligt privatundantaget i dataskyddsförordningen, GDPR, ska dataskyddsreglerna inte tillämpas på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll. Vår uppfattning är att om man som privatperson publicerar personuppgifter för en bredare krets, till exempel genom att publicera bilder eller annat i sociala medier, så är det inte att anse som en behandling av rent privat natur. Det innebär att privatundantaget inte gäller och att den som publicerar blir personuppgiftsansvarig för behandlingen.

  • 7. Är det lagligt för ett företag att behandla mina personuppgifter?

    När en organisation, exempelvis ett företag eller en myndighet, vill behandla personuppgifter måste de följa reglerna i dataskyddsförordningen, GDPR. Det innebär att de ska ha en rättslig grund för behandlingen, till exempel ett avtal med den registrerade, ett giltigt samtycke eller en intresseavvägning. De måste också följa de grundläggande principerna i dataskyddsförordningen – bland annat måste organisationen ha ett tydligt syfte med behandlingen av personuppgifter samt att uppgifterna ska vara korrekta, uppdaterade och inte för omfattande i förhållande till syftet med behandlingen.
    Läs mer om rättslig grund här

  • 8. Jag får inte ut mina uppgifter från ett företag. Hur ska jag göra?

    När du begär ut ett så kallat registerutdrag från en organisation, exempelvis ett företag, har de i regel en månad på sig att besvara din begäran. Om det har gått en månad utan att du fått svar kan du kontakta organisationen på nytt och vidhålla din rättighet enligt artikel 15 i dataskyddsförordningen, GDPR. Om organisationen har ett dataskyddsombud kan du med fördel kontakta denne. Får du inget svar kan det föreligga grund för skadestånd. Du kan också skicka in ett klagomål till Datainspektionen.
    Läs mer om registerutdrag här

  • 9. Varför måste jag identifiera mig när jag begär ut ett registerutdrag?

    När du begär ut ett registerutdrag kan en organisation, exempelvis ett företag, behöva säkerställa att de lämnar ut personuppgifter till rätt person. Hur en sådan identifiering går till regleras inte i dataskyddsförordningen, GDPR. Identifiering kan till exempel göras genom att organisationen ställer kontrollfrågor eller begär in viss information från dig. Organisationen ska dock inte samla in personuppgifter i onödan, en ordentlig avvägning måste göras.
    Läs mer om identifiering här

  • 10. Hur gör jag för att ett företag ska sluta skicka reklam till mig?

    Det är tillåtet för ett företag att skicka exempelvis nyhetsbrev och annan direktmarknadsföring med stöd av den rättsliga grunden intresseavvägning (vilket betyder att du inte behöver samtycka till utskicken), enligt dataskyddsförordningen, GDPR. I det fallet vägs skyddet för din personliga integritet mot en aktörs ekonomiska intresse att till exempel kunna marknadsföra sig och/eller sina varor/tjänster. Däremot kan du som registrerad alltid motsätta dig att dina uppgifter används för direktmarknadsföring. Det kan du göra när som helst och personuppgifterna får inte behandlas för sådana ändamål efter det. Du kan till exempel skicka ett e-postmeddelande till avsändaren och påtala att du inte vill att dina personuppgifter behandlas för det ändamålet och då ska reklamutskicken upphöra. Företaget ska respektera att du inte vill att dina uppgifter behandlas för direktmarknadsföringsändamål. Du kan även kontakta företagets dataskyddsombud (om sådan finns) som ska kunna bistå dig i denna fråga. 
    Läs mer och gör en direktreklamspärr här

    Men all direktreklam baseras inte på adresser från Spar. Andra myndighetsregister, till exempel bilregistret, är vanliga adresskällor, liksom kundregister och medlemsregister. Om du vill kan du också slippa sådana försändelser. Du kan även spärra ditt telefonnummer i NIX-Telefon, 0772-28 00 00. Det gäller både ditt fasta och ditt mobila nummer. NIX-registren är direktreklambranschens egna spärregister. 
    Läs mer om NIX här

  • 11. Vad gäller för så kallade dashcams och drönare?

    Det finns inget absolut förbud mot att använda sig av så kallade dashcams (kameror monterade i bilens framruta) eller andra kameror monterade i eller på en bil, men det är svårt för den som använder sig av tekniken att uppfylla alla skyldigheter i dataskyddsförordningen, GDPR, och kamerabevakningslagen.

    Om du monterar en kamera på bilen som spelar in material kommer du oundvikligen att behandla en stor mängd personuppgifter – huvudsakligen i form av inspelningar av människor som går att identifiera. Det innebär att du måste följa reglerna om personuppgiftsbehandling i dataskyddsförordningen.

    Om du behandlar någons personuppgifter måste du bland annat informera om det. Du behöver exempelvis informera om hur länge uppgifterna kommer lagras, vad du har för rättsligt stöd för att samla in uppgifterna och vilka rättigheter den som fångas på bilderna har. Det finns inga undantag från skyldigheten att informera om personuppgiftsbehandlingen som blir aktuella i den här situationen. 

    För drönare gäller samma regler som när du filmar med en vanlig kamera. Om det går att identifiera enskilda individer på bilderna gäller dataskyddsförordningen, GDPR, och kamerabevakningslagen. Om enskilda individer inte kan identifieras på bilderna gäller inte dataskyddsförordningen och kamerabevakningslagen eftersom det då inte är fråga om en personuppgiftsbehandling.
    Här kan du läsa mer om lagar och regler för kamerabevakning

  • 12. Vad är ett personuppgiftsbiträde och när är man det?

    För att förstå vad ett personuppgiftsbiträde är kan det vara bra att först förklara personuppgiftsansvariges roll. Personuppgiftsansvarig är den som bestämmer ändamål och medel med personuppgiftsbehandlingen. Ansvaret utgår från där det faktiska inflytandet ligger, och bedömningen måste göra i varje enskilt fall.

    Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning, och då krävs ett personuppgiftsbiträdesavtal. Om en personuppgiftsansvarig köper en tjänst som får till följd att leverantören i viss mån behandlar personuppgifter innebär det inte att leverantören per automatik blir personuppgiftsbiträde, utan det är när uppdraget avser just personuppgiftsbehandlingen som biträdesrollen uppstår. Personuppgiftsbiträden upp­träder med andra ord osjälv­ständigt i förhållande till de registrerade, och får enbart behandla personuppgifter enligt instruktion från den personuppgifts­ansvar­ige.
    Läs mer om personuppgiftsansvariga och personuppgiftsbidräden här