Plugg GDPR Flashcards
Vilka organisastioner påverkas av GDPR?
- Etablerad inom EU
- Erbjuder varor eller tjänster till fysiska personer inom EU
- Övervakar fysiska personers beteende inom EU
Vad står GDPR för?
General Data Protection Regulation
Vilket år började GDPR gälla?
2018
Vilket år antogs GDPR?
2016
Vad är en personuppgift?
All information som kan hänvisas till en fysisk person, direkt eller indirekt.
Exempelvis:
- Namn
- Adress
- IP-nummer
- Foto
Vilken är processen för en administrativ avgift?
1: Varning
2: Reprimand
3: Indragen rätt till behandling av uppgifter
4: Böter
Varför införde EU GDPR?
- Samma regler över hela EU
- Stärka den personliga integriteten
- Individer ska ha rätt till sin egen information
- Fritt flöde av personuppgifter inom EU
- Modernisera reglerna
Vilka personuppgifter räknas som känsliga eller “särskilda kategorier”?
- Ras eller etniskt ursprung
- Politiska åsikter
- Religiös eller filosofisk övertygelse
- Medlemskap i fackförening
- Uppgifter om hälsa, sexualliv eller sexuell läggning
- Behandling av genetiska uppgifter
Kan privatpersoner få en administrativ sanktionsavgift? (böter).
Ja, även privatpersoner kan få böter.
Varför är GDPR så pass viktigt?
Det skyddar individen
Får personuppgiftsbiträde ta beslut om vad som ska behandlas?
Nej, personuppgiftsbiträde får bara göra det den ansvarige “säger till den” att göra.
Vilken artikel behandlar personuppgiftsbiträden?
Artikel 28
Vilka länder ingår i EES?
- Norge
- Island
- Lichtenstein
Om det finns svensk lagstiftning som ger sämre förutsättningar än ett område som en EU-förordning täcker, vilken lagstiftning är det som gäller?
EU-förordningen.
Som medlem i EU omfattas Sverige också av EU-rätten, som har företräde över nationell rätt.
Vilken myndighet har i Sverige uppdrag att se till att GDPR efterföljs?
Integritetsskyddsmyndigheten (IMY)
Vilket är den maximala straffet för företag om de bryter mot GDPR?
Böter som kan vara högst 20 miljoner euro eller 4% av bolagets globala årsomsättning.
Beroende på vad som är högst.
Vad innebär termen “obehörig åtkomst” ?
Någon inom eller utanför organisationen har tagit del av personuppgifter som den saknade behörighet till, exempelvis i samband med ett dataintrång.
Vad innebär termen “tredje land” ?
- Ett land som inte är med i EU/EES.
Länder som riktar sin verksamhet mot EU-medborgare från tredje land är dock skyldiga att uppfylla GDPR.
Vilka artiklar i GDPR måste ett företag/organisation bryta mot för att kunna utdelas det högsta straffet?
- GDPR-principerna (Artikel 5,6,7,9)
- Registrerades rättigheter (Artikel 12-22)
- Internationella överföringar (Artikel 44-49)
Ett företag brister i att inhämta samtycke vid inhämtning av personuppgifter om ett barn. Vad är det potentiella maxstraffet?
2% av koncernens globala omsättning eller 10 Miljoner Euro, beroende på vilket belopp som är högst.
Vilka är de fyra GDPR-principerna? (artiklar)
• Artikel 5 – Principer
(Principer för behandling av personuppgifter)
• Artikel 6 – Laglig behandling
(Laglig behandling av personuppgifter)
• Artikel 7 – Villkor för samtycke
• Artikel 9 – Särskilda kategorier
(Behandling av särskilda kategorier av personuppgifter)
En personuppgiftsansvarig är nästan alltid en organisation.
Men när kan en fysisk person vara personuppgiftsansvarig?
Till exempel är detta fallet för personer som driver enskilda firmor.
Vad är en personuppgiftsincident?
En säkerhetsincident som kan innebära risker för människors friheter och rättigheter.
Kan en sanktionsavgift utfärdas till en myndighet?
Ja, även en myndighet kan få en sanktionsavgift.
Vilken artikel behandlar personuppgiftsansvariges ansvar?
Artikel 24
Vad ingår kortfattat i artikel 28, avseende personuppgiftsbiträden?
- Måste finnas avtal
- Måste skyndsamt meddela personuppgiftsansvarige vid incident
- Måste inhämta samtycke vid outsourcing
- Endast behandla uppgifter efter instruktion
Vilka är de 6 rättsliga grunderna?
- Samtycke
- Avtal
- Intresseavvägning
- Rättslig förpliktelse
- Myndighetsutövning
- Skydd för grundläggande intresse
Vilken artikel behandlar säkerhet i samband med behandlingen?
Artikel 32
Inom vilken tidsram ska en personuppgiftsincident anmälas till Integritetsskyddsmyndigheten?
Det ska anmälas inom 72 timmar efter att man fått reda på incidenten.
Ge fyra exempel på lagbrott som kan ge 2% av koncernens globala årsomsättning eller upp till 10 miljoner Euro i böter
- Dataintrång
- Inte rapportera personuppgiftsincident
- Inget samtycke vid behandling av barn
- Inte implementera tekniska och organisatoriska åtgärder
Vilken artikel behandlar “behandling av särskilda kategorier av personuppgifter”?
Artikel 9
Beskriv kortfattat artikeln om “Behandling av särskilda kategorier av personuppgifter”
- Generellt sett förbjudet
- Måste finnas samtycke
- Fullgöra rättsliga skyldigheter
- Får inte stå i beroendeställning
Vilka olika steg finns det i Privacy Mature Model (PMM)?
- Ad hoc
- Repeatable
- Defined
- Managed
- Optimized
Vilken artikel behandlar “Villkor som gäller barns samtycke”?
Artikel 8
Beskriv kortfattat innehållet i artikel 8 - “Villkor som gäller barns samtycke”.
- Måste finnas målsmans samtycke för barn under 16 år
- Måste göra rimliga ansträngningar för att inhämta samtycke
- Information om behandling ska vara anpassat till mottagaren
