GDPR

Question 1

Vilken beteckning har Europaparlamentet och rådets förordning som hanterar GDPR?

Answer 1

2016/679

Question 2

Varför har man tagit fram GDPR i EU?

Answer 2

1. Samma regler över hela EU.
2. Stärka den personliga integriteten.
3. Individer ska ha rätt till sin egen information.
4. Fritt flöde av personuppgifter inom EU.
5. Modernisera reglerna (molntjänster, social media etc)

Question 3

Vilket år började GDPR att gälla?

Answer 3

2018

Question 4

Om det finns svensk lagstiftning som ger sämre förutsättningar än ett område som en EU-förordning täcker, vilken lagstiftning är det som gäller?

Answer 4

EU-förordningen.

Som medlem i Europeiska unionen omfattas Sverige också av EU-rätten, som har företräde över nationell rätt. Det betyder till exempel att om en svensk lag står i strid med en EU-lag är det EU-lagen som gäller.

Question 5

Vilken myndighet har i Sverige uppdrag att se till att GDPR efterföljs?

Answer 5

IMY, Integritetsskyddsmyndigheten

Question 6

Vilket är den maximala straffet för företag om de bryter mot GDPR?

Answer 6

Böter som kan vara högst 20 miljoner euro eller 4% av bolagets globala årsomsättning.
Beroende på vad som är högst.

Question 7

Vad innebär termen “obehörig åtkomst” ?

Answer 7

Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång.

Obehörig åtkomst kan vara intern eller extern, och kan ske oavsiktligt eller avsiktligt.

Question 8

Vad innebär termen “tredje land” ?

Answer 8

Ett land som inte är med i EU/EES. Länder som riktar sin verksamhet mot EU-medborgare från tredje land är dock skyldiga att uppfylla GDPR.

Question 9

Elin och hennes arbetsgivare kommer överens om att arbetsgivaren ska skicka hennes lönespec via mail varje månad för att underlätta för båda parter. Är detta lagligt enligt GDPR?

https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/informationssakerhet/behandling-av-lonespecifikationer-i-e-post/

Answer 9

Nej, Elin som anställd kan aldrig samtycka till “otillräcklig säkerhet”.

Hennes arbetsgivare blir i så fall skyldig att se till så att hon får uppgifterna via företagets krypterade onlineportal exempelvis.

https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/informationssakerhet/behandling-av-lonespecifikationer-i-e-post/

Question 10

Vad räknas som en personuppgift?

Answer 10

All information som kan hänvisas till en fysisk person både direkt och indirekt.
T ex:
Namn
Adress
E-mail
IP-nummer
Foto

Question 11

Vilka artiklar i GDPR måste ett företag/organisation bryta mot för att kunna utdelas det högsta straffet?

Answer 11

5-7, 9, 12-22, 44-49

• GDPR-principerna(Artikel 5,6,7,9) Kapitel II
• Registrerades rättigheter(Artikel 12-22) Kapitel III
• Internationella överföringar(Artikel 44-49) Kapitel V

Question 12

Ett företag brister i att inhämta samtycke vid inhämtning av personuppgifter om ett barn. Vad är det potentiella maxstraffet?

Answer 12

2% av koncernens globala omsättning eller 10 Miljoner Euro, beroende på vilket belopp som är högst.

Question 13

Vilka är de fyra GDPR-principerna?

Kapitel II

Answer 13

• Artikel 5 – Principer för behandling av personuppgifter
• Artikel 6 – Laglig behandling av personuppifter
• Artikel 7 – Villkor för samtycke
• Artikel 9 – Behandling av särskilda kategorier av personuppgifter

Question 14

Vad innehåller artikel 5 sammanfattat i en mening?

Answer 14

Principer för behandling av personuppgifter.

Question 15

Vad innehåller artikel 6 sammanfattat i en mening?

Answer 15

Laglig behandling av personuppifter.

Question 16

Vilka personuppgifter räknas som “känsliga”?

Answer 16

• etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i en fackförening
• hälsa
• en persons sexualliv eller sexuella läggning
• genetiska uppgifter
• biometriska uppgifter som används för att entydigt identifiera en person.

Question 17

En personuppgiftsansvarig är nästan alltid en organisation (till exempel aktiebolag, stiftelse, förening eller myndighet).

När kan en fysisk person vara personuppgiftsansvarig?

Answer 17

Till exempel är detta fallet för personer som driver enskilda firmor.

Question 18

Vad är en personuppgiftsincident?

Answer 18

En säkerhetsincident som kan innebära risker för människors friheter och rättigheter.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har:
blivit förstörda
gått förlorade på annat sätt
kommit i orätta händer.

Question 19

Kan en sanktionsavgift utfärdas till en myndighet?

Answer 19

Ja, även en myndighet kan få en sanktionsavgift.

Question 20

Vad innehåller grundprincipen Art.5 - Behandling av personuppgifter?

(De 4 GDPR-principerna, Kapitel II)

Answer 20

a) Laglighet, korrekthet och öppenhet.
b) Ändamålsbegränsning. Uttryckligt angivna och berättigade ändamål.
c) Uppgiftsminimering - Relevanta och inte för omfattande.
d) Riktighet - De ska vara korrekta och om nödvändigt uppdaterade.
e) Lagringsminimering - Får inte lagras längre än vad som är nödvändigt.
f) Integritet och konfidentialitet - Uppgifter måste lagras säkert.

Question 21

Vad innehåller grundprincipen Art.6 - Laglig behandling av personuppifter?

(De 4 GDPR-principerna, Kapitel II)

Answer 21

a) Samtycke måste ha lämnats av den registrerade.
b) Ett avtal om behandling måste finnas.
c) Personuppgiftsansvarige har en rättslig förpliktelse.
d) Måste skydda grundläggande intressen för den registrerade.
e) Uppgift är av allmänt intresse eller nödvändigt för myndighetsutövning.
f) Uppgift är nödvändig för personuppgiftsansvarige berättigade intressen, om inte grundläggande rättigheter och friheter för den registrerade väger tyngre.

Question 22

Vad innehåller grundprincipen Art.7 - Villkor för samtycke?

De 4 GDPR-principerna, Kapitel II

Answer 22

1. Personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt till behandling av personuppgifter.
2. Skriftlig förklaring, där varje del av samtycket klart och tydligt kan särskiljas från andra delar.
3. De registrerade ska ha rätt att när som helst återkalla sitt samtycke.
4. Huruvida samtycke är frivilligt, ska vara tydligt kopplat till att uppgiften behövs för att leverera tjänsten till den registrerade.

Question 23

Vad innehåller grundprincipen Art.9 - Behandling av särskilda kategorier av personuppgifter?

(De 4 GDPR-principerna, Kapitel II)

Answer 23

Här behandlas de “känsliga” uppgifterna

1) De “känsliga uppgifterna” är förbjudna att lagra.
2) Undantag finns för speciella nödvändiga skäl, men samtycke krävs alltid. Exempel är vårdsituationer, möjligheten att dela till slutna organisationer m.m.
3) Tystnadsplikt finns för de känsliga uppgifterna om dessa lagras med speciellt samtycke.
4) Medlemsstater har rätt att ytterligare begränsa genetiska och/eller biometriska uppgifter.

Question 24

Vad innebär en adekvat skyddsåtgärd?

Answer 24

EU-kommissionen kan fatta beslut om att ett land har en tillräckligt hög skyddsnivå och ni får då föra över personuppgifter dit utan något särskilt tillstånd. I dataskyddsförordningen kallas det för adekvat skyddsnivå. Det kan även gälla ett visst territorium, en internationell organisation eller en eller flera sektorer i ett tredje land.

Question 25

Vilka lagliga grunder finns det?

Answer 25

1. Samtycke: Den registrerade har sagt ja till personuppgiftsbehandlingen.
2. Avtal: Den registrerade har ett avtal eller ska ingå ett avtal med den personuppgiftsansvariga.
3. Intresseavvägning: Den personuppgiftsansvariga får behandla personuppgifter om den personuppgiftsansvarigas intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
4. Rättslig förpliktelse: Det finns lagar eller regler som gör att den personuppgiftsansvariga måste behandla vissa personuppgifter i sin verksamhet.
5. Myndighetsutövning och uppgift av allmänt intresse: Den personuppgiftsansvariga måste behandla personuppgifter för att utföra sina myndighetsuppgifter eller för att utföra en uppgift av allmänt intresse.
6. Grundläggande intresse: Den personuppgiftsansvariga måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om hen är medvetslös.

Question 26

Vilka organisationer påverkas av GDPR?

Answer 26

1. Etablerade inom EU
2. Erbjuder varor eller tjänster till fysiska personer inom EU.
3. Övervakar fysiska personers beteende inom EU.

Question 27

Vad är en standardkontraktsklausul?

Answer 27

Ett fördefinierat kontrakt för att säkerställa att samma sak gäller för alla. Det ska inte ske någon förhandling, alla ska ha samma möjligheter. Det är egentligen ett biträdesavtal.
Sätter upp standardregler för sändare och mottagare.

Question 28

Hur är processen för administrativ avgift mot de som bryter mot GDPR?

Answer 28

Det beror på allvarligheten såklart.

1. Varning.
2. Reprimand.
3. Indragen rätt till behandling av uppgifter.
4. Böter:
   Upp till 20 miljoner euro eller 4% av bolagets globala årsomsättning.

Question 29

Vad är Privacy Shield?

Answer 29

Privacy Shield är en mekanism för självcertifiering i USA som innebär att amerikanska företag, genom att anmäla sig till det amerikanska handelsdepartementet, kan intyga att de uppfyller vissa särskilt uppställda krav.

Question 30

Ge exempel på länder med adekvat skyddsnivå.

Answer 30

• Andorra
• Argentina
• Kanada
• Schweiz
• Färöarna
• Guernsey
• Israel
• Isle of Man
• Japan
• Nya Zeeland
• Uruguay
• Syd Korea

Question 31

Vad innebär BCR (Binding Corporate Rules)?

Answer 31

Bindande företagsbestämmelser är gemensamma regler som en koncern eller en grupp av företag som deltar i gemensam ekonomisk verksamhet får tillämpa för att göra det tillåtet att överföra personuppgifter utanför EU/EES.

Question 32

När kan Datainspektionen ge särskilt tillstånd?

Answer 32

• Grundar sig på avtal mellan personuppgiftsansvarig och biträde
• Rättigheter för den registrerade
• Standardavtalsklausuler

Question 33

Vilka delar finner man under PMM (Privacy Mature Model)?

Answer 33

• Ad hoc - Rutiner och proocesser är generellt sett informella, ej kompletta och oregelbundet applicerade.
• Repeatable - Rutiner och processer existerar, dom är dock inte komplett dokumenterade och täcker inte alla relevanta aspekter.
• Defined - Rutiner och processer är komplett dokumenterade och implementerade och täcker alla relevanta aspekter.
• Managed - Genomgångar utförs för att bedömma effektiviteten i de uppsatta kontrollerna.
• Optimized - Regelbundna uppföljningar och återkopplingar används för att säkerställa koninuerliga förbättringar för att optimera processerna.

Question 34

Vad har Personuppgiftsansvariga & -biträde för roller?

Answer 34

Personuppgiftsansvariga
    - Tar beslut om vad som ska behandlas
    - Kan överlåta behandling

Personuppgiftsbiträde
    - Utför behandlingen

Question 35

Vad är Dataskyddsombudets uppgifter?

Answer 35

• Ge råd och informera om behandlingar
• Övervaka efterlevnaden
• Rådgöra om konsekvensbedömningar
• Samarbeta med tillsynsmyndigheten

Question 36

Vad ska man se upp för när man skriver under ett sekretessavtal?

Answer 36

Man ska se upp för oskäliga villkor.
Konkurrensklausuler:
-Hindrar för att arbeta för konkurrenter
-Begränsar marknaden genom att inte få arbeta för konkurrerande verksamhet under en period
-Oskäliga skadestånd

Question 37

Vad innebär ePrivacy förordningen?

Answer 37

Ett direktiv som är komplement till Dataskyddsdirektivet.

• Förenkla cookie-användning
• Göra det användarvänligare
• Samma regler för marknadsföring över EU
• Förväntas bli samma sanktionsavgift som under GDPR

Question 38

Ange exempel på ändamål för att behandla personuppgifter.

Answer 38

• Leta nya kunder
• Generell personaladministration
• Spärrlista
• Utöka försäljning

Question 39

Ange exempel på kategorier av mottagare av personuppgifter.

Answer 39

• Hostingföretag
• Bank
• Myndigheter

Question 40

Ange exempel på tekniska och organisatoriska skyddsåtgärder.

Answer 40

• Krypterad transport
• Krypterad lagring
• MFA (Multi factor Authentication)
• Policy
• Krypterat e-mail

Question 41

Ange exempel på skyddsåtgärder för överföring av personuppgifter till tredjeland eller internationell oranisation.

Answer 41

• USA, standardkontraktsklausul

- Japan, adekvat skyddsåtgärd

Question 42

När används ett personuppgiftsbiträde?

Answer 42

Personuppgiftsansvariga anlitar biträden för att utföra en viss personuppgiftsbehandling för att använda biträdets specifika expertis eller erfarenhet som den personuppgiftsansvariga saknar i sin organisation.

Question 43

När behöver man ett biträdesavtal?

Answer 43

Biträdesavtal behöver ingå när t ex:
-ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga, så ska behandlingen regleras genom avtal.

-ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar, måste det finnas ett avtal.

Question 44

Vad är syftet med konsekvensbedömningar?

Answer 44

Syftet är att förebygga risker innan de uppkommer.

Och det ska man göra:

• Innan man börjar en personuppgiftsbehandling.
• Om risken med en pågående behandling ändras.
• För pågående behandlingar om man inte har gjort det tidigare.

Man gör det för att:

• Ta reda på vilka risker som finns med att behandla personuppgifter.
• Ta fram rutiner och åtgärder för att bemöta dessa risker.
• Visa att man uppfyller dataskyddsförordningens krav.

Question 45

Vad innebär Privacy by design?

Answer 45

Privacy by design eller inbyggt dataskydd innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner.
Man ser till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.

Här jobbar man proaktivt och förebyggande, man analyserar och jobbar med kryptering och pseudonymisering.

Question 46

Vad innebär Privacy by default?

Answer 46

Privacy by default eller dataskydd som standard innebär att den som behandlar personuppgifter ska se till i standardfallet inte behandlas i onödan.

Här är det viktigt med uppgiftsminimering och om användaren inte gör något val, så ska integriteten vara skyddad.

Question 47

Vad ska en konsekvensbedömning innehålla?

Answer 47

• En systematisk beskrivning av den planerade behandlingen och behandlingens syften.
• En bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena.
• En bedömning av de risker för de registrerades rättigheter och friheter.
• De åtgärder som planeras för att hantera riskerna, skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna.

Question 48

Vad har dataskyddsombudet för uppgifter?

Answer 48

Dataskyddsombudet ska minst ha följande uppgifter:

• Att informera och ge råd till den personuppgiftsansvariga eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordningen och unionens bestämmelser.
• Att övervaka efterlevnaden av denna förordning, av andra, av unionens eller medlemmarnas dataskyddsbestämmelser.
• Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet av den.
• Att samarbeta med tillsynsmyndigheten.
• Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandling och vid behov samråda i alla andra frågor.
• Dataskyddsombudet ska vid utförandet av sina uppgifter ta vederbörlig hänsyn till de risker som är förknippade med behandling, med beaktande av behandlingens art, omfattning, sammanhang och syften.

Question 49

Hur avgör man om vad som är stor omfattning?

Answer 49

Det är svårt att bedöma, men beror t ex på:

• Hur många som är registrerade.
• Hur mycket uppgifter
• Vilka typer av uppgifter.
• Hur länge uppgifterna behandlas.

Question 50

Vad räknas som regelbunden och systematisk övervakning?

Answer 50

Övervakning som är ständig eller återkommande som sker enligt ett system eller en plan.

• alla former av spårning och profilering på internet.
• profilering för riskbedömningar
• positionsspårning i mobilappar.
• lojalitetsprogram
• övervakningskameror
• uppkopplade apparater (sakernas internet, IoT)

Question 51

Vad har dataskyddsombudet för ställning?

Answer 51

1. Personuppgiftsansvariga och personuppgiftsbiträdet ska säkerställa att dataskyddsombudet deltar i alla frågor som rör skyddet av personuppgifter.
2. Personuppgiftsansvariga och personuppgiftsbiträde ska stödja dataskyddsombudet i utförandet av uppgifterna genom att tillhandahålla resurser som krävs.
3. Personuppgiftsansvariga och personuppgiftsbiträdet ska säkerställa att uppgiftsskyddsombudet inte tar emot instruktioner som gäller utförandet av uppgifterna. Han eller hon får inte avsättas. De får inte heller bli föremål för sanktioner för att ha utfört sina uppgifter.
   Dataskyddsombudet ska rapportera direkt till personuppgiftsansvariga och personuppgiftsbiträdets högsta förvaltningsnivå.
4. Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.
5. Dataskyddsombudet ska, när det gäller dennes genomförande av sina uppgifter, vara bundet av sekretess eller
   konfidentialitet i enlighet med unionsrätten eller medlemsstaternas nationella rätt.
6. Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgifts­
   biträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

Question 52

När måste man göra en konsekvensbedömning?

Answer 52

Vid särskilt riskfylld behandling, ett måste vid:

• Användning av ny teknologi.
• Behandlingen som kan resultera i hög risk för individers fri- och rättigheter.

Behandlingen som kan resultera i hög risk:

• Systematisk och omfattande behandling, t ex profilering.
• Behandling i stor skala av särskilda kategorier.
• Systematisk övervakning av en allmän plats.

Förhandssamråd vid fortsatt hög risk med IMY.

Question 53

Vilken viktig information behöver vara med när man gör en incidenthantering?

Answer 53

• Vem upptäckte läckan.
• Datum & tid incidenten upptäcktes.
• När skedde incidenten.
• Typ av data: (Interna eller anställda, kunddata, leverantör)

Question 54

Vad är det som gäller när man gör en anmälan av en personuppgiftsincident?

Answer 54

-Inom 72 timmar.
-Vid risk för registrerades fri- och rättigheter.
-Beskriva incidentens art och vilka som berörs.
-Kontaktuppgifter för ansvarig.
-Ev konsekvenser för de registrerade.
-Vilka åtgärder som vidtagits.
Vid hög risk även anmäla till de registrerade.

Question 55

Personuppgiftsansvarig ska föra ett register över behandling av personuppgifter, vad ska den innehålla för uppgifter?

Answer 55

• Kontaktuppgifter
• Ändamål med behandlingen
• Beskrivning av kategorierna registrerade och av personuppgifterna.
• Kategorier av mottagare
• Ev överföring till tredjeland
• Ev raderingstid
• Allmän beskrivning av teknisk och organisatorisk säkerhet

Detta gäller ej organisationer med mindre än 250 anställda.
Undantag om:
-Medför risk för registrerades fri- och rättigheter
-Behandlingen inte är tillfällig
-Innehåller särskilda kategorier

Question 56

Vad är pseudonymisering?

Answer 56

-Är information som enbart kan kopplas till en fysisk person med hjälp av kompletterande uppgifter (hashning, kryptering)

Question 57

Vad är anonymisering?

Answer 57

• Den är oåterkallelig
• Den har gjorts på ett sätt att det är omöjligt (eller extremt opraktiskt) att identifiera den fysiska personen. (Anonyma nätverk, Anti-tracking verktyg)

Question 58

Vad står PET för?

Answer 58

Privacy Enhanced Technologies.

• Minimera personuppgifter
• Maximera integritetssäkerheten

Question 59

Vilka länder omfattas av GDPR?

Answer 59

Alla länder som jobbar med eller inom EU.

Question 60

Vad är GDPR till för?

Answer 60

Skydda personlig information.

Question 61

Vad är skillnaden mellan PUL (Personuppgiftslagen) och GDPR?

Answer 61

GDPR är en förtydligande och modernisering av PUL.

Question 62

Vad är det GDPR främst hjälper oss med?

Answer 62

Förstärker den enskildes rättigheter.

Question 63

Vilken data innefattas av GDPR?

Answer 63

All data innefattas av GDPR, inga specialfall längre som strukturerat eller ostrukturerat data som man hade innan med PUL (Personuppgiftslagen).

Question 64

Vad menar man med behandling när det gäller GDPR?

Answer 64

All typ av användning och lagring av personuppgifter.

Question 65

Vem eller vilka är personuppgiftsansvariga?

Answer 65

Den som bestämmer ändamålen för behandlingen.

Företag/Organisation

Question 66

Vem eller vilka är personuppgiftsbiträde?

Answer 66

Den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig.

Question 67

Vem är dataskyddsombud?

Answer 67

Dataskyddsombudet kan vara:

• en anställd eller en konsult
• en fysisk person eller en organisation eller grupp, men det måste alltid finnas en kontaktperson
• dataskyddsombud för en eller flera myndigheter eller företag.

Om dataskyddsombudets uppgifter utförs av en grupp personer, tydliggör roller och uppgifter inom gruppen.