Svar från IMY (IMY-2024-5275)
"Imy No-reply
mån 24 juni vid 14:01
Hej,
Tack för att du kontaktar Integritetsskyddsmyndigheten (IMY). Vi vill inledningsvis be om ursäkt för att vårt svar har dröjt. IMY:s upplysningstjänst är för tillfället under hög belastning. Vi vill även nämna att IMY inte lämnar juridisk rådgivning eller bindande besked inom ramen för förfrågningsärenden. Beträffande situationen du beskriver i din fråga kan vi däremot lämna följande, generella vägledning.
För att en behandling av personuppgifter ska vara laglig krävs enligt dataskyddsförordningen (GDPR) bland annat att det finns en rättslig grund för behandlingen. All behandling av personuppgifter måste även följa de grundläggande principerna som anges i GDPR. Principerna gäller för all personuppgiftsbehandling och sätter de yttersta ramarna för vad som är en tillåten behandling.
Det finns sex rättsliga grunder: avtal, rättslig förpliktelse, samtycke, skydda grundläggande intresse, myndighetsutövning och uppgift av allmänt intresse samt intresseavvägning.
Flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling. Läs mer om det rättsliga grunderna på vår webbplats.
För att använda den rättsliga grunden avtal krävs det att personuppgiftsbehandlingen är nödvändig, antingen för att fullgöra avtalet med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingås. Det här gäller bara avtal som den registrerade har ingått eller planerar att ingå. Läs mer om den rättsliga grunden avtal på vår webbplats.
Principen om ansvarsskyldighet innebär att det är den personuppgiftsansvarige ska vidta åtgärder för att kunna visa att GDPR efterlevs. Det kan göras på flera sätt, till exempel genom att:
- lämna tydlig information till de registrerade
- föra register över och dokumentera de personuppgiftsbehandlingar som pågår i organisationen
- upprätta interna riktlinjer för dataskydd (en dataskyddspolicy) och utbilda personalen
- bygga in integritetsvänliga lösningar i systemen (så kallat inbyggt dataskydd)
- göra en konsekvensbedömning innan en personuppgiftsbehandling som innebär särskilda integritetsrisker påbörjas
- ansluta sig till en godkänd uppförandekod eller certifieringsmekanism.
Den registrerade har rätt att få information när hens personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av er som personuppgiftsansvariga både när uppgifterna samlas in och när den registrerade annars begär det. Man har även rätt att få veta vem som kommer att ta del av ens uppgifter. EU-domstolen har även i mål C-154/21 nyligen slagit fast att den personuppgiftsansvarige är skyldig att ge den registrerade den faktiska identiteten på mottagare till vilka personuppgifter har lämnats ut eller ska lämnas ut. Endast när det är omöjligt att identifiera mottagarna är det tillräckligt att den personuppgiftsansvarige informerar den registrerade om de aktuella kategorierna av mottagare.
Personuppgifter kan överföras till ett land utanför EU/EES om den personuppgiftsansvariga vidtar lämpliga skyddsåtgärder. De lämpliga skyddsåtgärder som finns är bindande företagsbestämmelser, standardavtalsklausuler som EU-kommissionen har beslutat om, godkända uppförandekoder eller certifieringsmekanismer, rättsligt bindande instrument mellan myndigheter, ad hoc-klausuler som godkänts av IMY samt administrativ överenskommelse mellan myndigheter som godkänts av IMY. Du kan läsa mer om när det är tillåtet att överföra uppgifter till ett tredjeland på vår webbplats.
Vänliga hälsningar,
Upplysningstjänsten
Integritetsskyddsmyndigheten (IMY)
08-657 61 00, www.imy.se
IMY arbetar för att skydda alla dina personuppgifter, till exempel om hälsa och ekonomi, så att de hanteras korrekt och inte hamnar i orätta händer.
Så här behandlar vi personuppgifter"
Inga kommentarer:
Skicka en kommentar
Obs! Endast bloggmedlemmar kan kommentera.