Dataskydd för mäklare Flashcards
Vad står GDPR för?
General data protection regulation alternativt dataskyddsförordningen
Vad ska dataskyddsförordningen skydda?
Individers rätt till skydd av sina personuppgifter
Beskriv samspelet mellan GDPR och övriga regler
Föreligger ett samspel mellan GDPR, kompletterade nationella regler (tryckfrihetsförordningen) samt sektorspecifika lagar (offentlighets- och sekretesslagen) samt övriga allmänna regler
Definition av en automatiserad behandling av personuppgifter
Innebär att personuppgifter hanteras, lagras eller bearbetas utan direkt mänsklig inblandning, ofta genom användning av tekniska system eller algoritmer.
Kan inkludera insamling, lagring, analysering eller överföring av data genom datorprogram eller maskiner, där beslut eller åtgärder fattas automatiskt baserat på dessa uppgifter
GDPR:s omfattning (skäl och artiklar)
173 skäl och 99 artiklar
GDPR:s tillämpningsområden (2)
- Gäller för en helt, delvis automatiserad behandling när den ansvarige (eller biträdet) är etablerad i EU
- Materiellt (även annan behandling av personuppgifter kan ingå i tillämpningsområdet om de ingår eller kommer att ingå i ett register t. ex muntliga uppgifter, samlar in uppgifter i pappersform)
Om uppgifterna är tänkta att sedan föras till en digital databas, ska GDPR tillämpas
Undantag där GDPR INTE tillämpas (4)
- Privat behandling
- Yttrandefrihet
- Informationsfrihet
- Andra undantag
Definition av personuppgifter
Varje upplysning som avser en identifierad eller identifierbar fysisk (levande) person
Ange exempel på personuppgifter (3)
- Personnummer
- Namn
- Adressuppgifter
Definition av behandling
En åtgärd beträffande personuppgifter oberoende av om den utförs automatiserat eller ej
T. ex insamling av personuppgifter, att man gör något med personuppgifter, överföring av personuppgifter, skickar personuppgifter via mail
Definition av samtycke
Varje slag av frivillig, specifik, informerad och otvetydig viljeyttring som godtar behandlingen
Definition av personuppgiftsansvarig
Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter
Definition av personuppgiftsbiträde
Någon som behandlar personuppgifter för den personuppgiftsansvariges räkning
Definition av pseudonymiserade uppgifter
Att man har kodat information, bytt ut namnet till en form av kod
Är en personuppgift och då gäller GDPR
Ange tre exempel på vad som skulle KUNNA ANSES som en personuppgift (3)
- IP-nummer, registreringsnummer, telefonnummer
- En ljudupptagning där inga namn nämns
- Metadata
Är namn, adress etc på ett aktiebolag en personuppgift?
NEJ
Den sju grundläggande principerna för behandling av personuppgifter (7)
- Princip om laglighet, korrekthet och öppenhet
Handlar om att behandla personuppgifter på ett korrekt sätt, rättvist och i god tro
- Princip om ändamålsbegränsning
Vid insamling och behandling av personuppgifter sker det för ett specifikt ändamål/syfte
Ändamålet MÅSTE vara bestämt från början och kan inte ändras under resans gång
- Princip om uppgiftsminimering
Får enbart samla in de personuppgifter som verkligen behövs
Inte samla in fler personuppgifter än vad som behövs
- Princip om riktighet
Handlar om att de personuppgifter som är under behandling är korrekta
Måste uppdatera personuppgifter
- Princip om integritet och konfidentialitet
Måste alltid skydda personuppgifter, både på ett digitalt sätt och fysiskt
Stänga ner datorer, låsa servrar,
hantera USB-minnen etc
- Princip om lagringsminimering
Att man enbart för behandla uppgifter så länge som det behövs för ändamålet
Om ändamålet är uppnått med behandlingen, måste personuppgifter raderas eller gallras
Får inte behandla personuppgifter hur länge som helst, helt beroende på enskilda fallet, vad det är för slags personuppgifter etc
- Princip om ansvarsskyldighet
Den som är personuppgiftsansvarig har en ansvarsskyldighet
Måste kunna visa att kraven efter GDPR efterlevs, måste visa att behandlingen är laglig och att man respekterar de grundläggande principerna genom att dokumentera
Ange tre exempel på känsliga uppgifter där kraven är hårdare och striktare (3)
- Ras eller etniskt ursprung
- Politiska åsikter
- En persons sexualliv eller sexuella läggning
Innebörd av tredjelandsöverföring
En överföring av personuppgifter utanför EU och EES-området t. ex USA
Finns undantag när det är tillåtet och inte
Ange fem frågeställningar att tänka på som mäklare vid gällande behandling av personuppgifter (5)
- Vilken behandling genomförs och för vilka ändamål?
- Vilka typer av personuppgifter behandlas?
- Vilken laglighetsgrund kan behandlingen stödjas på? (måste kunna hänvisa till de grundläggande principerna)
- Vem är personuppgiftsansvarig för behandlingen?
- Hur säkerställs att kraven som följer av ansvaret efterlevs?
Vanliga GDPR-fel (3)
- Slarva med uppgiftsminimering
- Otillräcklig dokumentation (inte dokumenterar tillräckligt)
- Bristande gallringsrutiner
Ansvarsfördelning av personuppgifter i olika situationer (4)
- Mäklarföretag
- Enskild mäklare (om ingen juridisk person finns)
- Gemensamt personuppgiftsansvar (vid en franchisestruktur för vissa behandlingar)
- Mäklaren som faktisk utför behandlingen är ansvarig gentemot mäklarföretaget
Ange tre exempel på mäklarens informationsskyldigheter som personuppgiftsansvarig (3)
- Identitet och kontaktuppgifter för den ansvarige
- Ändamålen och den rättliga grunden
- Lagrings- respektive gallringstider
Dokumentationsskyldigheter (3)
- Allmän skyldighet - att kunna visa att behandlingen utförs i enlighet med förordningen
- Registerföring - tidsfrister, säkerhetsåtgärder, ändamål
- Speciella skyldigheter - t. ex samtycke, information
Definition av berättigat intresse
Att mäklaren tror att kunden är intresserad av en fastighet och kontaktar kunden
När får en mäklare återanvända personuppgifter?
Vid rådgivning efter avtalet
Krav för samtycke för att behandla en personuppgift (2)
- Berättigat intresse eller
- Samtycke i anknytning till marknadsföring
Kan samtycke i anknytning till behandling av personuppgift återkallas?
JA, DET KAN ALLTID ÅTERKALLAS
