Plugg2 GDPR Flashcards
Vad är en standardkontraktsklausul?
Det är ett biträdesavtal för att säkerställa användandet av information som skickas till ett tredjeland.
Ett fördefinierat kontrakt/avtal som EU tagit fram för att säkerställa att överföringen av personuppgifter sker på samma sätt för alla.
Beskriv med tre ord hur sanktionsavgifter ska “vara”?
- Effektiva
- Proportionella
- Avskräckande
Enligt artikel 16 - Rätt till rättelse:
Under vilken tidsram har en individ rätt att få sina uppgifter rättade?
Det ska ske inom en månad
Beskriv 5 punkter som artiklarna 44-49 (Internationella överföringar) beskriver
- Beslut om adekvat skyddsnivå
- Lämpliga skyddsåtgärder
- Särskilt tillstånd av IMY
- Samtycke
- Överföring vid enstaka tillfälle
Nämn 5 länder med adekvat skyddsnivå?
- Schweiz
- Uruguay
- Israel
- Kanada
- Japan
Uppge tre punkter som artikel 32 - Säkerhet i samband med behandlingen, beskriver:
- Säkerställa en säkerhetsnivå i förhållande till behandlingen både tekniskt och organisatoriskt
- CIA - Resiliance (bounce back)
- Regelbundet testa och undersöka effektiviteten
Vilka artiklar i GDPR måste ett företag/organisation bryta mot för att kunna utdelas det högsta straffet?
- GDPR-principerna (Artikel 5,6,7,9)
- Registrerades rättigheter (Artikel 12-22)
- Internationella överföringar (Artikel 44-49)
Vilka är de fyra GDPR-principerna? (artiklarna)
• Artikel 5 – Principer
(Principer för behandling av personuppgifter)
• Artikel 6 – Laglig behandling
(Laglig behandling av personuppgifter)
• Artikel 7 – Villkor för samtycke
• Artikel 9 – Särskilda kategorier
(Behandling av särskilda kategorier av personuppgifter)
Vad ingår kortfattat i artikel 28, avseende personuppgiftsbiträden?
- Måste finnas avtal
- Måste skyndsamt meddela personuppgiftsansvarige vid incident
- Måste inhämta samtycke vid outsourcing
- Endast behandla uppgifter efter instruktion
Ge fyra exempel på lagbrott som kan ge 2% av koncernens globala årsomsättning eller upp till 10 miljoner Euro i böter
- Dataintrång
- Inte rapportera personuppgiftsincident
- Inget samtycke vid behandling av barn
- Inte implementera tekniska och organisatoriska åtgärder
Beskriv kortfattat artikeln om “Behandling av särskilda kategorier av personuppgifter” (art 9)
- Generellt sett förbjudet
- Måste finnas samtycke
- Fullgöra rättsliga skyldigheter
- Får inte stå i beroendeställning
Beskriv kortfattat innehållet i artikel 8 - “Villkor som gäller barns samtycke”.
- Måste finnas målsmans samtycke för barn under 16 år
- Måste göra rimliga ansträngningar för att inhämta samtycke
- Information om behandling ska vara anpassat till mottagaren
Vilka är grunderna i GDPR?
- registrerad behandling
- Personuppgiftsansvarig
- Personuppgiftsbiträde
- Dataskyddsombud
- Tillsynsmyndighet
När gäller GDPR?
vid automatisk behandling av personuppgifter eller där personuppgifter ingår i ett register (eller kommer att ingå)
Förklara Privacy by default respektive Privacy by design
- Privacy by default: uppgiftsminimering
- Privacy by design: kryptering, pseudonymisering
Beskriv teknisk respektive organisatorisk säkerhet
Teknisk:
- Ändamålet
- Uppgifternas art
- Hur de ska skyddas
- Behöver inte vara den senaste tekniken
Organisatorisk:
- Rutiner
- Processer
- Policy
- Utbildningar, internt & externt
Förklara PETs.
Privacy Enhanced Technologies:
- kryptering
- pseudonymisering
- anonymisering
- anonyma nätverk
- anti-tracking verktyg
Vad utgör pseudonymisering?
information som enbart kan kopplas till en fysisk person med hjälp av kompletterande uppgifter, t.ex. hashning eller kryptering
Vad är ett sekretessavtal?
lagstiftad lojalitetsplikt
vi ska se upp för konkurensklausuler
Vad gäller för anmälan av en personuppgifts-incident (art.33&34)?
- inom 72 timmar
- vid risk för den registrerades fri- & rättigheter
- Beskriva incidentens art & vilka som berörs
- kontaktuppgifter för ansvarig
- eventuella konsekvenser för de registrerade
- vilka åtgärder som vidtagits
- vid hög risk även anmäla till de registrerade
När bör det finnas dataskyddsombud (art.37)?
- Offentligt organ
- Övervakar personer (kärnverksamhet)
- Behandlar känsliga personuppgifter eller uppgifter om brott (kärnverksamhet)
Vad innebär “stor omfattning”?
svårt att bedöma, beror på antal registrerade, mängd uppgifter, typ av uppgifter, hur länge de behandlas
Exempel:
- skjukhus (patientuppgifter)
- kollektivtrafik (reseuppgifter)
- banker & försäkringsbolag (uppgifter om egendom & tillgånger)
Vilken ställning har dataskyddsombudet (art.38)?
- intern eller extern
- särställning, får inte avsättas
- får inte finnas intressekonflikt
- ska rapportera till ledningen
Vilka är de lagliga grunder för behandling av personuppgifter (art.6)?
- samtycke
- avtal
- rättslig förpliktelse
- skydd för grundläggande intressen
- myndigehtsutövning
- intresseavvägning
Vad ska ett register över behandling innehålla enligt art. 30?
- Kontaktuppgifter
- Ändamål
- Beskrivning av kategorier (registrerade och personuppgifter)
- Kategorier av mottagare
- Eventuell överföring till tredje land
- Eventuell raderingstid
- Beskrivning av teknisk & organisatorisk säkerhet
- Gäller ej organisationer med mindre än 250 anställda, dock undantag vid:
- -> Medför en risk för registrerades fri- och rättigheter
- -> Behandligen är inte tillfällig
- -> Innehåller särskilda kategorier/känsliga uppgifter
När måste en konsekvensbedömning ske enligt art. 35 & 36?
- Vid särskilt riskfylld behandling - ett måste vid:
- -> Användning av ny teknologi
- -> Behandling som kan resultera i hög risk för individens fri- och rättigheter
Vilka behandlingar kan resultera i hög risk?
- Systematisk och omfattande behandling, t.ex profilering
- Behandling i stor skala av särskilda kategorier/känsliga uppgifter
- Systematisk övervakning av allmän plats
Vad ska ingå i en konsekvensbedömning?
- Beskrivning av behandling & syfte
- Bedömning av omfattning & nödvändighet
- Bedömning av risker
- Åtgärder för att minska risker
