Personuppgiftsansvarig och personuppgiftsbiträde

Relevanta dokument
Varför granskar Datainspektionen er verksamhet?

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Tillsyn. Räddningstjänsten i Östra Skaraborg

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Så behandlar vi dina personuppgifter

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Svensk författningssamling

Förteckning enligt artikel 35.4 i Dataskyddsförordningen

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

EU:s dataskyddsförordning

Datainspektionens riktlinjer för förebyggande och korrigerande befogenheter samt administrativa sanktionsavgifter enligt brottsdatalagen

Dataskyddspolicy för Rotsunda Utbildning AB

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Datainspektionen lämnar följande synpunkter.

Dataskyddsförordningen

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Dataskyddsförordningen

Personuppgiftspolicy för Hallmans Skomakeri & Skor AB. Vilken information samlar vi in?

PERSONUPPGIFTSBITRÄDESAVTAL

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Personuppgiftsbiträdesavtal

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

Personuppgiftsbiträdesavtal

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Snabbare lagföring (Ds 2018:9)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Dataskyddsförordningen

inte längre lagras så raderas eller anonymiseras den och kan inte längre användas eller begäras ut.

PERSONUPPGIFTSBITRÄDESAVTAL

Regeringskansliet Faktapromemoria 2016/17:FPM64. Dataskyddsförordning för EU:s institutioner. Dokumentbeteckning. Sammanfattning.

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Svensk författningssamling

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

PERSONUPPGIFTSPOLICY - KUNDER & LEVERANTÖRER

Denna dag, har följande policy upprättats för Advokatfirman Upsala Juridiska Byrå HB.

Integritetspolicy. Vårt dataskyddsarbete

Personuppgiftsbiträdesavtal

Tillsyn enligt EU:s dataskyddsförordning 2016/679 ansiktsigenkänning för närvarokontroll av elever

DATASKYDDSPOLICY FÖR HAGMANS NORDIC AB - FÖRETAGSKONTAKTER

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Vården och reglerna om dataskydd

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

Med "Personuppgifter" avses varje upplysning som är hänförlig till en identifierbar eller identifierad fysisk person.

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PERSONUPPGIFTSBITRÄDESAVTAL

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Dataskyddsförordningen

GDPR- Vad har hänt och hur ser tillämpningen ut?

EU:s dataskyddsförordning

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

GDPR- Seminarium 2017

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

HANTVERKARNAS RIKSORGANISATION

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Dataskyddsförordningen

Dataskyddsförordningen

Ifylls fullständigt för en objektiv bedömning. Skriv gärna direkt i blanketten med datorn. Gatuadress: Postnr: Ort:

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Mertzig Asset Management AB

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

PERSONUPPGIFTSBITRÄDESAVTAL

Ansökan om inskrivning vid Arbetsmarknadsenheten

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Så här behandlar V-Dala överförmyndarsamverkan dina personuppgifter

INFORMATIONSSÄKERHET OCH DATASKYDD

Hur står det till med den personliga integriteten? (SOU 2016:41)

INTEGRITETSPOLICY PIRELLIS HEMSIDA (UTAN KÖP AV PRODUKTER/TJÄNSTER) Denna Integritetspolicy uppdaterades senast den 29 oktober 2018.

INTEGRITETSPOLICY Målet med denna policy är att säkerställa att personuppgifter hanteras i enlighet med gällande lagstiftning.

EU:s allmänna dataskyddsförordning:

Information om behandling av personuppgifter

Bilaga 3 Personuppgiftsbiträdesavtal

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

Personuppgiftspolicy Signera Rekrytering AB

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Policy för behandling av personuppgifter

Yttrande i Förvaltningsrätten i Stockholms mål

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Så här behandlar Hedemora Näringsliv AB dina personuppgifter

Personuppgiftsbiträdesavtal

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Riktlinjer för att tillvarata enskildas rättigheter

Finansdepartementet Avdelningen för offentlig förvaltning Föreskriftsrätt för Lantmäteriet enligt förordningen om lägenhetsregister Maj

Datainspektionen informerar

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Om du har några frågor eller funderingar är du varmt välkommen att kontakta oss på

Integritetsmeddelande

Ansökan om kamerabevakningstillstånd

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Transkript:

Datum Diarienr 1 (5) 2019-06-27 DI-2019-7309 Till Nordic Tech House AB linus@nordictechhouse.com Tillsyn Datainspektionen har beslutat att granska er planerade personuppgiftsbehandling och har inlett ett tillsynsärende. Ni behöver därför svara på våra frågor. Varför granskar Datainspektionen er verksamhet? Datainspektionen har genom uppgifter i media uppmärksammats på att Nordic Tech House AB har för avsikt att använda en teknik som möjliggör analys av ansiktsbilder på butiksbesökare i syfte att bl.a. avgöra kön, ålder, ansiktsuttryck och om en viss besökare är återkommande. 1 Enligt uppgift kommer ansiktsanalystekniken att börja testas för ovan nämnda syften i en butik inom kort, nedan benämnt testprojektet. Datainspektionen har beslutat att inleda tillsyn mot Nordic Tech House AB för att granska den personuppgiftsbehandling som testprojektet kommer innefatta. Våra frågor Datainspektionen vill inledningsvis att ni svarar på frågorna 1-2 nedan. Personuppgiftsansvarig och personuppgiftsbiträde 1. Vilket bolag är personuppgiftsansvarig för de personuppgiftsbehandlingar som kommer ske inom testprojektet? 2. Kommer det finnas ett personuppgiftsbiträde för de personuppgiftsbehandlingar som kommer ske inom testprojektet? Vilket bolag är i sådant fall personuppgiftsbiträde? 1 https://www.svt.se/nyheter/inrikes/darfor-vill-butiker-lagra-information-om-ditt-ansikte (hämtad 2019-06-26 kl. 12:37) Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen DI-2019-7309 2 (5) Om ni anser att ni är personuppgiftsansvarig för personuppgiftsbehandlingar inom testprojektet vänligen svara på frågorna 3-15 nedan. Allmänna frågor om testprojektet 3. Beskriv kortfattat hur ni planerar att använda ansiktsanalys inom ramen för testprojektet. Beskriv även övergripande hur er ansiktsanalysteknik fungerar. Bifoga övergripande ritning/flödesschema över ansiktsanalystekniken. 4. Beskriv kortfattat hur personuppgifter kommer behandlas inom ramen för testprojektet. 5. När planerar ni att inleda testprojektet och hur länge kommer det att pågå? Personuppgifter och rättslig grund 6. Vilka personuppgifter kommer att behandlas inom testprojektet? 7. I det fall ni anser att personuppgifterna kommer vara anonymiserade 2, förklara hur ni avser att anonymisera personuppgifterna? 8. För vilket eller vilka ändamål kommer personuppgiftsbehandlingen inom testprojektet att ske? 9. Vilken rättslig grund enligt artikel 6 i dataskyddsförordningen 3 kommer ni att stödja er personuppgiftsbehandling inom testprojektet på? Förklara hur ni resonerat och motivera varför ni har valt er rättsliga grund. 10. Hur många personer (kunder respektive personal samt övriga besökare) kommer uppskattningsvis att få sina personuppgifter behandlade inom testprojektet? 11. Anser ni att testprojektet i någon del kommer innebära behandling av känsliga personuppgifter, t.ex. biometriska uppgifter 4, på sådant sätt som avses i artikel 9.1 i dataskyddsförordningen? 2 För ytterligare information om avidentifieringsmetoder: se Artikel 29-gruppens yttrande 05/2014 om avidentifieringsmetoder: https://ec.europa.eu/justice/article- 29/documentation/opinion-recommendation/files/2014/wp216_sv.pdf 3 Europaparlamentets och rådets förordning (EU) 2016/79 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. 4 Se artikel 4.14 i dataskyddsförordningen.

Datainspektionen DI-2019-7309 3 (5) a. Om nej, förklara hur ni resonerat och motivera varför er personuppgiftsbehandling inte kommer omfattas av förbudet att behandla känsliga personuppgifter enligt artikel 9.1 i dataskyddsförordningen. b. Om ja, vilket undantag enligt artikel 9.2 i dataskyddsförordningen kommer ni att stödja er behandling på? Förklara hur ni resonerat och motivera varför ni har valt det undantaget. i. Hur många personer (kunder respektive personal samt övriga besökare) kommer uppskattningsvis att få sina känsliga personuppgifter, t.ex. biometriska uppgifter, behandlade inom testprojektet? Konsekvensbedömning och förhandssamråd 12. Har ni inför testprojektet gjort en konsekvensbedömning enligt artikel 35 i dataskyddsförordningen? Om en konsekvensbedömning har gjorts vänligen lämna in den tillsammans med ert svar på dessa frågor. 13. Har ni inför testprojektet inkommit med begäran om förhandssamråd enligt artikel 36 i dataskyddsförordningen? Om inte, motivera varför så inte har skett. Information till de registrerade 14. Vilken information till de registrerade kommer ni att lämna och hur kommer den informationen lämnas inom testprojektet för att säkerställa att ni uppfyller kraven enligt artikel 12 och 13 i dataskyddsförordningen?

Datainspektionen DI-2019-7309 4 (5) Tekniska och organisatoriska säkerhetsåtgärder 15. Vilka tekniska och organisatoriska säkerhetsåtgärder kommer ni att vidta för att säkerställa en lämplig säkerhetsnivå enligt artikel 5.1 f) och artikel 32 i dataskyddsförordningen? Ert svar Svara skriftligt till Datainspektionen senast den 22 juli 2019. Förutsatt att svaret inte innehåller några integritetskänsliga personuppgifter eller uppgifter som kan omfattas av sekretess, kan ni e-posta det till datainspektionen@datainspektionen.se och referera till vårt diarienummer DI-2019-7309. Vänligen notera att det ni skickar in till Datainspektionen blir allmän handling. Om en handling begärs ut gör vi en sekretessprövning för att bedöma om uppgifterna i handlingen ska vara sekretessbelagda eller inte. Vi beslutar sedan om uppgifterna kan lämnas ut, i sin helhet eller delvis. Måste ni svara Datainspektionen? Ja, Datainspektionen är tillsynsmyndighet enligt dataskyddsförordningen. Det innebär att vi får begära att ni lämnar all information som Datainspektionen behöver för att vi ska kunna fullgöra våra uppgifter som tillsynsmyndighet. 5 Vad händer sen? När Datainspektionen är färdig med granskningen kommer ni att få ett beslut. Där kommer ni att få besked om eventuella brister i ert dataskydd och om ni måste vidta några korrigerande åtgärder. Datainspektionen kan exempelvis påföra administrativa sanktionsavgifter och utfärda varningar om att planerade behandlingar sannolikt strider mot dataskyddsförordningen. 6 5 Artikel 58.1 i dataskyddsförordningen. 6 Artikel 58.2 och artikel 83-84 i dataskyddsförordningen.

Datainspektionen DI-2019-7309 5 (5) Om ni har frågor kontakta Nils Henckel på telefonnummer 08-657 61 23. Med vänlig hälsning Nils Henckel, 2019-06-27 (Det här är en elektronisk signatur) Information om Datainspektionen behandling av personuppgifter https://www.datainspektionen.se/om-oss/information-om-hurdatainspektionen-behandlar-personuppgifter/

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss