Plugg GDPR

Question 1

Vilka organisastioner påverkas av GDPR?

Answer 1

• Etablerad inom EU
• Erbjuder varor eller tjänster till fysiska personer inom EU
• Övervakar fysiska personers beteende inom EU

Question 2

Vad står GDPR för?

Answer 2

General Data Protection Regulation

Question 3

Vilket år började GDPR gälla?

Answer 3

2018

Question 4

Vilket år antogs GDPR?

Answer 4

2016

Question 5

Vad är en personuppgift?

Answer 5

All information som kan hänvisas till en fysisk person, direkt eller indirekt.
Exempelvis:

• Namn
• Adress
• Mail
• IP-nummer
• Foto

Question 6

Vilken är processen för en administrativ avgift?

Answer 6

1: Varning
2: Reprimand
3: Indragen rätt till behandling av uppgifter
4: Böter

Question 7

Varför införde EU GDPR?

Answer 7

• Samma regler över hela EU
• Stärka den personliga integriteten
• Individer ska ha rätt till sin egen information
• Fritt flöde av personuppgifter inom EU
• Modernisera reglerna

Question 8

Vilka personuppgifter räknas som känsliga eller “särskilda kategorier”?

Answer 8

• Ras eller etniskt ursprung
• Politiska åsikter
• Religiös eller filosofisk övertygelse
• Medlemskap i fackförening
• Uppgifter om hälsa, sexualliv eller sexuell läggning
• Behandling av genetiska uppgifter

Question 9

Kan privatpersoner få en administrativ sanktionsavgift? (böter).

Answer 9

Ja, även privatpersoner kan få böter.

Question 10

Varför är GDPR så pass viktigt?

Answer 10

Det skyddar individen

Question 11

Får personuppgiftsbiträde ta beslut om vad som ska behandlas?

Answer 11

Nej, personuppgiftsbiträde får bara göra det den ansvarige “säger till den” att göra.

Question 12

Vilken artikel behandlar personuppgiftsbiträden?

Answer 12

Artikel 28

Question 13

Vilka länder ingår i EES?

Answer 13

• Norge
• Island
• Lichtenstein

Question 14

Om det finns svensk lagstiftning som ger sämre förutsättningar än ett område som en EU-förordning täcker, vilken lagstiftning är det som gäller?

Answer 14

EU-förordningen.

Som medlem i EU omfattas Sverige också av EU-rätten, som har företräde över nationell rätt.

Question 15

Vilken myndighet har i Sverige uppdrag att se till att GDPR efterföljs?

Answer 15

Integritetsskyddsmyndigheten (IMY)

Question 16

Vilket är den maximala straffet för företag om de bryter mot GDPR?

Answer 16

Böter som kan vara högst 20 miljoner euro eller 4% av bolagets globala årsomsättning.
Beroende på vad som är högst.

Question 17

Vad innebär termen “obehörig åtkomst” ?

Answer 17

Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång.

Question 18

Vad innebär termen “tredje land” ?

Answer 18

• Ett land som inte är med i EU/EES.

Länder som riktar sin verksamhet mot EU-medborgare från tredje land är dock skyldiga att uppfylla GDPR.

Question 19

Vilka artiklar i GDPR måste ett företag/organisation bryta mot för att kunna utdelas det högsta straffet?

Answer 19

• GDPR-principerna (Artikel 5,6,7,9)
• Registrerades rättigheter (Artikel 12-22)
• Internationella överföringar (Artikel 44-49)

Question 20

Ett företag brister i att inhämta samtycke vid inhämtning av personuppgifter om ett barn. Vad är det potentiella maxstraffet?

Answer 20

2% av koncernens globala omsättning eller 10 Miljoner Euro, beroende på vilket belopp som är högst.

Question 21

Vilka är de fyra GDPR-principerna? (artiklar)

Answer 21

• Artikel 5 – Principer
(Principer för behandling av personuppgifter)

• Artikel 6 – Laglig behandling
(Laglig behandling av personuppgifter)

• Artikel 7 – Villkor för samtycke

• Artikel 9 – Särskilda kategorier
(Behandling av särskilda kategorier av personuppgifter)

Question 22

En personuppgiftsansvarig är nästan alltid en organisation.

Men när kan en fysisk person vara personuppgiftsansvarig?

Answer 22

Till exempel är detta fallet för personer som driver enskilda firmor.

Question 23

Vad är en personuppgiftsincident?

Answer 23

En säkerhetsincident som kan innebära risker för människors friheter och rättigheter.

Question 24

Kan en sanktionsavgift utfärdas till en myndighet?

Answer 24

Ja, även en myndighet kan få en sanktionsavgift.

Question 25

Vilken artikel behandlar personuppgiftsansvariges ansvar?

Answer 25

Artikel 24

Question 26

Vad ingår kortfattat i artikel 28, avseende personuppgiftsbiträden?

Answer 26

• Måste finnas avtal
• Måste skyndsamt meddela personuppgiftsansvarige vid incident
• Måste inhämta samtycke vid outsourcing
• Endast behandla uppgifter efter instruktion

Question 27

Vilka är de 6 rättsliga grunderna?

Answer 27

• Samtycke
• Avtal
• Intresseavvägning
• Rättslig förpliktelse
• Myndighetsutövning
• Skydd för grundläggande intresse

Question 28

Vilken artikel behandlar säkerhet i samband med behandlingen?

Answer 28

Artikel 32

Question 29

Inom vilken tidsram ska en personuppgiftsincident anmälas till Integritetsskyddsmyndigheten?

Answer 29

Det ska anmälas inom 72 timmar efter att man fått reda på incidenten.

Question 30

Ge fyra exempel på lagbrott som kan ge 2% av koncernens globala årsomsättning eller upp till 10 miljoner Euro i böter

Answer 30

• Dataintrång
• Inte rapportera personuppgiftsincident
• Inget samtycke vid behandling av barn
• Inte implementera tekniska och organisatoriska åtgärder

Question 31

Vilken artikel behandlar “behandling av särskilda kategorier av personuppgifter”?

Answer 31

Artikel 9

Question 32

Beskriv kortfattat artikeln om “Behandling av särskilda kategorier av personuppgifter”

Answer 32

• Generellt sett förbjudet
• Måste finnas samtycke
• Fullgöra rättsliga skyldigheter
• Får inte stå i beroendeställning

Question 33

Vilka olika steg finns det i Privacy Mature Model (PMM)?

Answer 33

• Ad hoc
• Repeatable
• Defined
• Managed
• Optimized

Question 34

Vilken artikel behandlar “Villkor som gäller barns samtycke”?

Answer 34

Artikel 8

Question 35

Beskriv kortfattat innehållet i artikel 8 - “Villkor som gäller barns samtycke”.

Answer 35

• Måste finnas målsmans samtycke för barn under 16 år
• Måste göra rimliga ansträngningar för att inhämta samtycke
• Information om behandling ska vara anpassat till mottagaren