Datainspektionen informerar

Relevanta dokument
Samtycke och dataskyddsförordningen (GDPR)

Tillsyn enligt personuppgiftslagen (1998:204)

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

GDPR. Ulrika Harnesk 17 oktober 2018

Dataskyddsförordningen för prefekter och administrativa chefer

Personuppgiftsbehandling i forskning

Behandling av personuppgifter vid Göteborgs universitet

Kerstin Wardman, 25 april 2018

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Dataskyddsförordningen

Instruktion till mall för registerförteckning

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftspolicy Signera Rekrytering AB

Dataskyddsförordningen 2018

Samtycke enligt personuppgiftslagen

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Riktlinje, Samtycke och sekretess inom hälsooch sjukvård

Datainspektionen informerar

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Dataskyddsförordningen 2018

BlueStep Banks AB (publ) Integritetspolicy

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

GDPR definition och hur utbildningen berör(t)s av förordningen

Datainspektionen informerar. Samtycke enligt personuppgiftslagen

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Dataskyddsförordningen (GDPR)

Personuppgiftsbehandling för forskningsändamål

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Allmänna råd. Datainspektionen informerar. Nr 2/2016

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

För- och efternamn:... Personnummer:... Adress:... Postadress:... Tel. bostad:... Tel. arbete:... Målsmans namn:... Ändamål:

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Dataskyddsförordningen

Personuppgiftslagen (PuL) - En kort introduktion

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Mertzig Asset Management AB

Personuppgifter i forskningen vilka regler gäller?

Dataskyddsförordningen - GDPR

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

ANIMECH TECHNOLOGIES INTEGRITETSPOLICY - EXTERN

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

Stiftelsen PETTER SILFVERSKIÖLDS MINNESFOND

Den nya Dataskyddsförordningen

Nya Dataskyddsförordningen, GDPR. Advokat Josephine Borg

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Kvalitetsregisterdag

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Advokatbyrån Eriksson & Bengtsson AB:s policy för behandling av personuppgifter

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Juridiska förutsättningar för datahantering. Ledningsdagarna i Uppsala

Personuppgiftspolicy

Ansökan om bidrag för vetenskaplig forskning Stiftelsen Elna Bengtssons Fond

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Pass 6 Forskningsjuridik

CARL JÖNSSONS UNDERSTÖDSSTIFTELSE II 1 (6)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Så behandlar vi dina personuppgifter

Stiftelsen PETTERSILFVERSKIÖLDSMINNESFOND

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Dataskyddsförordningen för kommunikatörer

PERSONUPPGIFTSLAGEN (PUL)

GDPR- Seminarium 2017

Den nya dataskyddsförordningen

Allmänna råd. Datainspektionen informerar. Nr 3/2016

Datainspektionen informerar. Samtycke enligt personuppgiftslagen. (reviderad den 1 oktober 2007)

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Allmänna råd. Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt.

PERSONUPPGIFTSPOLICY

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Hambergska Stiftelsen har bildats i enlighet med fröken Ulla Hambergs testamente den 6 september 1917.

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Anpassning till DSF

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

Följande personuppgifter samlas in och behandlas av Nanoflex i samband med att du använder Tjänsten:

INTEGRITETSPOLICY Max Mitteregger Kapitalförvaltning AB. INTEGRITETSPOLICY Den 25 maj 2018

GDPR - ARBETSRÄTT. Presentation för AFS den 25 september Advokat Emelie Svensäter Jerntorp

BOLAGETS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Personuppgifter i forskning riktlinje för SLSO

GDPR. Anders Ahlström

GDPR- Vad har hänt och hur ser tillämpningen ut?

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Datainspektionen informerar. Vägledningen ska tjäna som verktyg för att bedöma integritetsriskerna med ny eller ändrad lagstiftning.

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

PerGus Maskinförmedling AB:s policy för behandling av personuppgifter

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Transkript:

Datainspektionen informerar Nr 3/2018 Allmänna råd Datainspektionen ger ut allmänna råd i syfte: 1) att öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt EU:s dataskyddsförordning samt 2) att öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling av personuppgifter. De allmänna råden är inte bindande, utan innehåller rekommendationer om hur de bindande kraven i dataskyddsförordningens kan uppnås. Detta dokument handlar om hur myndigheterna ska inhämta samtycke från personer vars personuppgifter registreras. Datainspektionen den 11 april 2018 Datainspektionen Elverksgatan 10, AX-22100 Mariehamn, Åland Besöksadress: Kvarteret itiden +358 (0)18 25 550 +358 (0)457 34 320 81 inspektion@di.ax www.di.ax

Innehåll 1. Allmänt... 3 2. Vad är ett samtycke?... 3 3. Olika sätt att samtycka... 4 4. Vem kan samtycka?... 5 5. Återkallande av lämnat samtycke... 5 6. Sammanfattning... 6

3 (6) 1. Allmänt EU:s dataskyddsförordning, som träder i kraft den 25 maj 2018, reglerar under vilka förutsättningar det är tillåtet att behandla personuppgifter. I artikel 6.1 i dataskyddsförordningen nämns olika villkor som vart och ett för sig kan göra behandlingen av personuppgifter laglig. Det anges bland annat att personuppgifter får behandlas: - om den registrerade har lämnat sitt samtycke till att hans eller hennes personuppgifter behandlas (artikel 6.1 a), - om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras (artikel 6.1 b), - om behandlingen är nödvändig för att intressen av grundläggande betydelse för den registrerade ska kunna skyddas (artikel 6.1 d) eller - om behandlingen är nödvändig i samband med myndighetsutövning (artikel 6.1 e). Det är viktigt att den personuppgiftsansvariga myndigheten redan innan en behandling av personuppgifter påbörjas klarlägger om behandlingen ska vara baserad på samtycke från de registrerade eller på någon annan grund som nämns i dataskyddsförordningen. I detta dokument får du veta mer om vad som menas med begreppet samtycke. I korthet är samtycke ett godkännande från den registrerade till att hennes eller hans personuppgifter behandlas. Utgångspunkten är att den enskilda själv ska avgöra om personuppgifter om henne eller honom får behandlas. 2. Vad är ett samtycke? I artikel 4.11 i dataskyddsförordningen definieras samtycke som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycket ska alltså vara frivilligt vilket innebär att den enskilda i praktiken måste ha ett fritt val att avgöra om hennes eller hans uppgifter ska få behandlas. I de flesta fall vållar inte frivillighet några bekymmer utan den enskilda får, efter att ha fått information om behandlingen, själv ta ställning till om hon eller han accepterar den för att t.ex. erhålla en vara eller tjänst. Om däremot den personuppgiftsansvariga myndigheten skulle kräva samtycke för att behandla personuppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster, kan det ifrågasättas om kravet på frivillighet är uppfyllt. I fall där den enskilde inte har någon verklig valmöjlighet beträffande att tillåta eller inte tillåta behandling av personuppgifter måste den personuppgiftsansvariga myndigheten använda sig av en annan grund för behandlingen än samtycke. Kravet på att samtycket ska vara specifikt innebär att det inte fungerar med ett generellt samtycke till behandling av personuppgifter i allehanda situationer. Samtycket ska avse behandling för ett eller flera preciserade ändamål. Det har t.ex. inte godtagits som samtycke att enskilda generellt medger att deras hälsouppgifter får behandlas för allehanda framtida forskning.

4 (6) Samtycket ska vara informerat. För att samtycket ska vara giltigt ska den registrerade ha fått sådan information att hon eller han kan ta ställning till om personuppgifterna ska få behandlas för det ändamål och på det sätt som planerats. Ett samtycke kan således inte omfatta annan behandling än sådan som den registrerade fått information om. Bl.a. följande information bör lämnas till den registrerade innan hon eller han samtycker: Den personuppgiftsansvariga myndighetens namn och kontaktuppgifter, ändamålet eller ändamålen med behandlingen av personuppgifterna och all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom vilka kategorier av uppgifter som ska behandlas, information om mottagarna eller kategorier av mottagare av uppgifterna, skyldigheter att lämna uppgifter och rätten att ansöka om information och få rättelse. Att samtycket ska vara en otvetydig viljeyttring innebär att det inte får råda någon tvekan om att den registrerade godtar behandlingen om personuppgifter som rör henne eller honom. Det är den personuppgiftsansvarige som har bevisbördan för att samtycke faktiskt föreligger. Ett uttryckligt samtycke kan enligt artikel 9.1 i dataskyddsförordningen vara en nödvändig förutsättning för behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en person, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning. När det krävs att ett samtycke ska vara uttryckligt, ligger det i den personuppgiftsansvariga myndighetens intresse att välja en form för samtycket som särskilt tydligt visar den registrerades vilja. Det krävs i regel ett uttryckligt samtycke för uppgifter som rör hälsa, såsom sjuk, förkyld m.m, i frånvarorapportering. Utan samtycke får arbetsgivaren eller skolan bara registrera att arbetstagaren eller eleven haft frånvaro, men däremot ingenting om hälsotillståndet. 3. Olika sätt att samtycka I praktiken finns det olika sätt att informera och inhämta respektive lämna samtycke på. Om den personuppgiftsansvariga myndigheten och den tilltänkt registrerade har kontakt på något sätt (vid personligt sammanträffande, per telefon eller skriftligen) i samband med att myndigheten lämnar information om behandlingen och den registrerade uttryckligen samtycker, blir det knappast några problem med samtyckets giltighet. Det finns dock andra fall som kan vålla problem eller som inte kan godtas som samtycke i lagens mening. En situation är att den personuppgiftsansvarige gör ett antagande om att den registrerade inte har något att erinra mot behandlingen. Ett sådant antagande kan aldrig godtas som ett samtycke enligt dataskyddsförordningen hur välgrundat antagandet än är, eftersom det inte kan anses vara en viljeyttring. I dataskyddsförordningen finns inte några krav på att samtycket ska vara skriftligt eller att det ska dokumenteras. Således kan det räcka med ett muntligt samtycke.

5 (6) Samtycke kan ske genom konkludent handlande, d.v.s. att det tydligt framgår av en persons agerande att han eller hon vill att personuppgifterna ska behandlas. Hypotetiskt samtycke kan dock inte godtas. Eftersom det är den personuppgiftsansvariga myndigheten som har bevisbörda för att samtycke verkligen föreligger kan det vara lämpligt att på något sätt dokumentera det lämnade samtycket. Det kan ske på olika sätt, allt ifrån en enkel notering till att skriftligt samtycke inhämtas och bevaras. Det kan vara praktiskt att utarbeta en blankett. Den bör innehålla information om den tilltänkta behandlingen. Vidare bör det i anslutning till utrymmet för den enskildas underskrift ange att hon eller han tagit del av informationen och samtycker till behandlingen. Om skriftlig information ges separat är det lämpligt att ett exemplar av den informationen förvaras i anslutning till samtycket så att det i efterhand kan konstateras vad samtycket omfattat. Samtycke kan också inhämtas digitalt, t.ex. via internet eller e-post. Det kan vara naturligt att inhämta samtycke på detta sätt om också övrig kommunikation sker via nätet. Även här gäller att information om den tilltänkta behandlingen måste ges. Om en myndighet förfogar över personuppgifter som den har samlat in med den berörda personens samtycke innan dataskyddsförordningen trädde i kraft och samtycket har inhämtats på det sätt som dataskyddsförordningen anger, behöver myndigheten inte inhämta ett nytt samtycke nu när dataskyddsförordningen ska tillämpas. Dataskyddsförordningen innehåller en del skärpta krav på ett samtycke jämfört med den tidigare gällande landskapslagstiftningen. Till exempel måste den personuppgiftsansvarige kunna visa att man verkligen har fått den registrerades samtycke. Om myndigheten inte har dokumenterat samtycket eller om den bara har utgått ifrån att den registrerade samtyckt utan att han eller hon aktivt har uttryckt detta på något sätt, så måste ett nytt samtycke inhämtas. 4. Vem kan samtycka? Enligt dataskyddsförordningen är det den registrerade (den som personuppgifterna avser) som kan samtycka till behandling av personuppgifter. Samtycket ska vara individuellt. Det ska således vara den registrerade som genom viljeyttringen godtar behandlingen av personuppgifter. För att ett giltigt samtycke ska kunna ges krävs att den registrerade är kapabel att förstå innebörden av samtycket. Det förväntas komma lagbestämmelser beträffande minderårigas samtycke avseende informationssamhällets tjänster. 5. Återkallande av lämnat samtycke I de fall behandlingen av personuppgifter utförs med stöd av dataskyddsförordningen och bara är tillåten om den registrerade har lämnat sitt samtycke, kan den registrerade när som helst återkalla sitt samtycke. Ett återkallande av ett lämnat samtycke medför att ytterligare personuppgifter om den registrerade därefter inte får samlas in eller på annat sätt behandlas.

6 (6) Uppgifter som redan samlats in får, trots återkallandet, fortsätta behandlingen i enlighet med det ursprungligen lämnade samtycket, men uppgifterna får t.ex. inte uppdateras eller kompletteras. Således är det inte möjligt för den registrerade att genom att återkalla ett samtycke stoppa behandlingen av uppgifter som redan samlats in med stöd av samtycke. Ett grundläggande krav är att de personuppgifter som behandlas ska vara riktiga och aktuella i behövlig utsträckning. Detta krav innebär att personuppgifter i många fall inte kan behandlas någon längre tid efter det att ett samtycke återkallats, eftersom de registrerade uppgifterna med tiden kan bli oriktiga och den personuppgiftsansvariga myndigheten inte längre vet eller har möjlighet att ta reda på om de är riktiga. Därför är det lämpligt att inom en viss tid ta bort eller på annat sätt upphöra med behandlingen av sådana uppgifter. 6. Sammanfattning Dataskyddsförordningen reglerar under vilka förutsättningar det är tillåtet att behandla personuppgifter. I många fall är det den enskilda själv som ska avgöra om hennes eller hans personuppgifter får behandlas. Ett samtycke ska vara frivilligt, specifikt, otvetydigt och informerat. Samtycket kräver inte viss form. Det behöver inte vara skriftligt utan kan lämnas muntligen, men skriftligt samtycke kan vara bra i dokumenteringssyfte. Detta dokument ersätter Datainspektionen informerar Nr 1/2012, Allmänna råd vid inhämtande av samtycke.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss