Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

IT-säkerhet > GDPR > Flashcards

GDPR Flashcards

1
Q

Vad står GDPR för?

A

General Data Protection Regulation

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vilka organisationer påverkas av GDPR?

A
  • etablerade i EU
  • erbjuder varor eller tjänster till fysiska personer inom EU
  • övervaka fysiska personers beteende i EU
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

När antogs GDPR och sedan vilket år gäller den?

A

antogs 2016, gäller sedan 2018

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vilka är grunderna i GDPR?

A
  • registrerad behandling
  • PU ansvarig
  • PU biträde
  • dataskyddsombud
  • tillsynsmyndighet
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Vad är en personuppgift (PU)?

A
  • info som kan hänvisas till en fysisk person, direkt/indirekt
  • t.ex. namn, adress, e-mail, ip-nummer, foto
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Vilka är de särskilda kategorier av PU?

A
  • etnicitet
  • politiska åsikter
  • medlem i fackförening
  • sexuell läggning & sexualliv
  • trosuppfattning, fil. övertygelse
  • hälsa
  • biometrisk data
  • genetisk data
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Varför finns GDPR?

A
  • samma regler över hela EU
  • stärka den personliga integriteten
  • individers rätt till sin egen information
  • fritt flöde av PU i hela EU
  • anpassa till teknikutvecklingen (social media, molnet, mm.)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

När gäller GDPR?

A

automatisk behandl. av PU eller där PU ingår i ett register (eller kommer att ingå)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Vilka är de administrativa sanktionsavgifter?

A

4 % av global årsomsättning eller 20 mio € (det högre)

2 % av global årsomsättning eller 10 mio € (det högre)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

hur ser processen ut som kan leda till böter?

A

varning->reprimand->indragen rätt till behandling av PU->böter

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Vilka är de vanligaste anledningar till böter?

A
  • insufficient legal basis
  • insufficient technical & organisational measures for information security
  • non-compliance with general dataprocessing principals
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Vilka är principerna för behandling av PU? (art.5)?

Hur ska PU behandlas?

A
  • laglig, korrekt, öppen
  • ändamålsenligt
  • uppgiftsminimerad
  • korrekt
  • lagringsminimerad (tid)
  • integritet&konfidentiell
  • ansvarsskyldig
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Vilka är de lagliga grunder för behandling av PU (art.6)?

A
  • samtycke
  • avtal
  • rättslig förpliktelse
  • skydd för grundläggande intressen (t.ex. liv)
  • myndigehtsutövning/allmänt intresse
  • intresseavvägning (berättigat intresse)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Vilka är villkoren för samtycke (art.7)?

A
  • ska visa att den registrerade har samtyckt till behandlingen
  • klart & tydligt samtycke
  • särskiljad från andra frågor
  • ska vara lika lätt att dra tillbaka samtycket
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vad gäller vid behandling av särskilda kategorier av PU (art.9)?

A
  • generellt sett förbjudet
  • samtycke
  • fullgöra rättsliga skyldigheter
  • får inte stå i beroendeställning
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

På vilket sätt ska villkoren & kommunikationen av den registrerades rättigheter vara tydliga (art.12)?

A
  • hur behandlingen kommer att ske
  • klart & tydligt språk
  • kort & koncist
  • mottagaren ska förstå
  • helst elektronisk form
  • senast en månad eter förfrågan ska information lämnas ut
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Vilken info ska tillhandahållas om PU har inhämtats från den registrerade (art.13)?

A
  • identitet & kontaktuppgifter på PU-ansvarig
  • ev. kontaktuppgifter på dataskyddsombud
  • ändamålet med behandlingen samt rättslig grund
  • mottagare som ska ta del av PU
  • ev. överföring utanför EU
  • hur länge PU lagras
  • rättigheterna: tillgång, rättelse, radering, begränsning av behandling, dataportabilitet
  • återkalla samtycke
  • rätten att klaga
  • tillhandahållandet är lagstadgat, avtalsenligt eller för att kunna ingå ett avtal
  • ev. automatiskt beslutsfattande eller profilering
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Vilken info ska tillhandahållas om PU inte inhämtats från den registrerade (art.14)?

A
  • kategorier av PU behandlingen gäller
  • källan till PU
  • senast 1 månad efter insamling av PU
  • vid kommunikation, senast 1. kontakten
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Vilken rätt har den registrerade till tillgång (art.15)?

A
  • rätt att veta om en PU behandlas (vilka PU & för vilka ändamål)
  • ska vara gratis (i de flesta fall)
  • främst elektronisk form
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Vilken rätt har den registrerade till rättelse (art.16)?

A
  • ska ha rätt att få sina PU rättade

- ska ske inom 1 månad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Viken rätt har den registrerade till radering (art.17)?

A
  • PU är inte längre nödvändiga
  • återkalla samtycke - ingen annan rättslig grund för behandling
  • PU har inhämtats olaglig
  • gäller inte då: -rätten att uttrycka sig och -arkivering inom offentliga, forskning eller statistiska ärenden
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

När kan individen begränsar behandling av PU (art.18)?

A
  • bestrider PUs korrekthet
  • behandling är olaglig
  • PU behövs ej längre
  • invändning mot behandling enl. art.21
  • får fortsätta lagras
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

Vilken anmälningsskyldighet finns det vid rättelse/radering/begränsad behandling av PU (art.19)?

A
  • till alla mottagare som PU lämnats ut till

- vid -rättelser, -radering, -begränsningar av behandling

24
Q

När gäller rätt till dataportabilitet (art.20)?

A
  • överföra PU till en annan PU-ansvarig
  • ->om behandlingen grundar sig på samtycke eller avtal
  • ->sker automatisk
25
Q

När gäller rätten att göra invändningar (art.21)?

A
  • när behandling sker vid:
  • ->intresseavvägning eller vid allmänt intresse
  • ->direkt marknadsföring
  • ->vetenskapliga eller historiska forskningsändamål
26
Q

Vad gäller vid automatisk beslutsfattande & profilering (art.22)?

A
  • rätt att inte bli utsatt för atom. beslutsfattande eller profilering
  • har rätt till mänsklig kontakt för att -uttrycka sig och -få förklarat beslutet/profileringen
  • dock tillåtet vid: ->avtal, ->samtycke, ->rättslig skyldighet
27
Q

Vad gäller vid internationella överföringar utanför EU (art.44-49)?

A
  • beslut om adekvat skyddsnivå (t.ex. Andorra, Schweiz, Uruguay, Japan)
  • lämpliga skyddsåtgärder, t.ex. BCR (binding corporate rules)
  • särskilt tillstånd av IMY, t.ex. standardavtalsklausuler
  • samtycke
  • överföring vid enstaka tillfälle
28
Q

Vad gäller för BCR (binding corporate rules)?

A
  • skall godkännas av tillsynsmyndigheten (IMY)
  • rättslig bindande
  • gäller inom en grupp/koncern inkl. anställda
  • lämplig skydd & utbildning
29
Q

När kan IMY utfärda ett särskilt tillstånd?

A
  • grunder sig på avtal mellan PU-ansvarig & PU-biträde
  • rättigheter för den registrerade
  • standardavtalsklausuler
30
Q

När är det godkänt att överföra PU till tredjeland även om det inte finns adekvat skyddsnivå eller lämpliga skyddsåtgärder?

A
  • för att fullgöra ett avtal

- vid samtycke

31
Q

Vilka delar finns i Privacy Mature Model?

A

Ad hoc -> repeatable -> defined -> managed -> optimized

32
Q

När kan det bli administrativa sanktionsavgifter på 2 % eller 10 mio €?

A
  • dataintrång
  • inte rapportera PU-incident
  • inget samtycke vid behandling av barn
  • inte implementerat tekniska/organisatoriska åtgärder
33
Q

Vila villkor gäller barns samtycke (art.8)?

A
  • måste finnas målsmans samtycke för barn under 16 år (13 år)
  • måste göras rimliga ansträngningar för att inhämta samtycke
  • information om behandlingen ska vara anpassat till mottagaren
34
Q

Förklara Privacy by default resp. Privacy by design (art.25)?

A
  • Privacy by default: -uppgiftsminimering

- Privacy by design: -kryptering, -pseudonymisering

35
Q

Vad gäller för gemensamt personuppgiftsansvariga (art.26)?

A
  • tydlighet mot den registrerade

- fastställa respektives ansvar

36
Q

Vad gäller för PU-ansvariga eller PU-biträden som inte är etablerade i EU (art.27)?

A

-företrädare i EU ska utses (ofta One-Stop-Shop-företag)

37
Q

Hur ser relationen ut mellan PU-ansvarig och PU-biträde?

A
  • PU-ansvarig: ->tar beslut om vad som ska behandlas och ->kan överlåta behandlingen
  • PU-biträde: ->utför behandlingen
  • ska finnas register över behandlingen
38
Q

Vad gäller för PU-biträden (art.28)?

A
  • måste finnas avtal
  • måste skyndsamt meddela PU-ansvarig vid incident
  • måste inhämta samtycke vid outsourcing
  • får endast behandla uppgifterna efter instruktion
39
Q

Vad gäller för register över behandlingen (art.30)?

A

-kontaktuppgifter
-ändamålet för behandlingen
-beskrivning av kategorier registrerade och PU
-kategorierna av mottagare
-eventuell överföring till tredjeland
eventuell raderingstid
-allmän beskrivning av tekn. & organ. säkerhet
-gäller INTE organisationer med mindre än 250 anställda, dock undantag om:
–>medför risk för registrerades fri- och rättigheter
–>behandling inte är tillfällig
–>innehåller särskilda kategorier

40
Q

Vad gäller angående säkerheten vid behandlingen av PU?

A
  • säkerställa säkerhetsnivå i förhållande till behandlingen (tekn.&organ.)
  • CIA - Resilliance (Confidentiality, Integrity, Avaiability)
  • regelbundet testa & undersöka effektivitet
41
Q

Beskriv teknisk resp. organisatorisk säkerhet.

A

Teknisk:

  • ändamålet för behandlingen
  • uppgifternas art
  • hur de ska skyddas: behandlas, transporteras, raderas
  • behöver inte vara den senaste tekniken

Organisatorisk:

  • rutiner
  • processer
  • policy
  • utbildningar, internt & externt
42
Q

Vad bör man tänka på när det gäller Privacy by design och Privacy by default?

A
  • proaktiv inte reaktiv
  • integritet som standard
  • integritet inbäddat i systemet
  • full funktionalitet
  • säkerhet från början till slut
  • synlighet och transparens
  • håll det användarcentrerat
43
Q

Förklara PETs.

A

Privacy Enhanced Technologies:

  • kryptering
  • pseudonymisering
  • anonymisering
  • anonyma nätverk
  • anti-tracking verktyg
44
Q

Vad utgör anonymisering?

A
  • oåterkallelig

- omöjligt att identifiera den fysiska personen

45
Q

Vad utgör pseudonymisering?

A

-information som enbart kan kopplas till en fysisk person med hjälp av kompletterande uppgifter, t.ex. hashning eller kryptering

46
Q

Vad vet vi om ePrivacy-förordningen?

A
  • den kommer “snart”

- gäller framförallt cookies

47
Q

Vad är ett sekretessavtal?

A

-lagstiftat lojalitetsplikt

vi ska se upp för konkurensklausuler

48
Q

Vad gäller för anmälan av en PU-incident (art.33&34)?

A
  • inom 72 timmar
  • vid risk för den registrerades fri- & rättigheter
  • beskriver incidentens art & vilka som berörs
  • kontaktuppgifter för ansvarig
  • eventuella konsekvenser för de registrerade
  • vilka åtgärder som vidtagits
  • vid hög risk även anmäla till de registrerade
49
Q

När ska en konsekvensbedömning göras och vad ska göras vid fortsatt hög risk (art.35&36)?

A
  • vid särskilt riskfylld behandling, ett måste vid:
  • ->användning av ny teknologi
  • ->behandling som kan resultera i hög risk för individers fri- & rättigheter
  • behandling som kan resultera i hög risk:
  • ->systematisk & omfattande behandling, t.ex. profilering
  • ->behandling i stor skala av särskilda kategorier
  • ->systematisk övervakning av allmän plats

-vid fortsatt hög risk: förhandsråd

50
Q

Vilka delar ingår i en konsekvensbedömning?

A
  • beskrivning av behandlingsaktiviteten & syftet
  • en bedömning av omfattningen & hur nödvändig aktiviteten är
  • en bedömning av riskerna för de registrerades fri- och rättigheterna
  • åtgärder för att minska riskerna och visa på efterlevnad av lagen
51
Q

När bör det finnas dataskyddsombud (art.37)?

A
  • är det en myndighet eller folkvald församling, dvs. offentlig organ?
  • har man som kärnverksamhet att regelbundet, systematisk, i stor omfattning övervaka personer?
  • har man som kärnverksamhet att behandla känsliga PU eller uppg. om brott i stor omfattning?
52
Q

Vad är regelbunden och systematisk övervakning (exempel)?

A 
-ständig eller återkommande övervakning som sker enligt ett system eller en plan
Exempel:
-spårning & profilering på internet
-positionsspårning
-lojalitetsprogram
-övervakningskameror
-IoT-enheter
53
Q

Vad innebär “stor omfattning” (exempel)?

A

-svårt att bedöma, beror på antal registrerade, mängd uppgifter, typ av uppgifter, hu länge de behandlas
Exempel:
-skjukhus (patientuppgifter)
-kollektivtrafik (reseuppgifter)
-banker & försäkringsbolag (uppgifter om egendom & tillgånger)

54
Q

Vilken ställning har dataskyddsombudet (art.38)?

A
  • intern eller extern
  • särställning, får inte avsättas
  • får inte finnas intressekonflikt
  • ska rapportera till ledningen
55
Q

Vilka uppgifter har dataskyddsombudet (art.39)?

A
  • ge råd & informera om behandlingar
  • övervaka efterlevnaden
  • rådgöra om konsekvensbedömningar
  • samarbete med tillsynsmyndigheten (IMY)

IT-säkerhet (9 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions