Do you have any questions or want to book a demo? We are ready to guide you through the compliance jungle.

EDPB states that data controllers often provide users with various alternatives in cookie banners where the consent boxes are pre-ticked. EDPB’s taskforce emphasizes that such pre-ticked boxes do not lead to valid consent as this violates recital 32 in the GDPR.

In addition, the report deduces that data controllers inaccurately classifies cookies as “essential” even though these are not necessary to uphold the functionality of the website. The task force highlights the practical difficulties associated with establishing a general classification of cookies to determine which ones that are necessary due to the changing nature of cookies. Thus, this prevents the EDPB to create a reliable list of all necessary cookies. Moreover, the report discusses potential solutions where companies can use digital tools to scan their website and subsequently establish a list of the cookies used on the webpage. The taskforce argues that such list can lay the foundation for the company to prove which cookies that could be justified to be labelled as “essential”.

**Source:** https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Un nuevo informe arroja luz sobre las deficiencias de los banners de las cookies

EDPB belyser brister i hanteringen av cookies i ny rapport

New report shines light on deficient cookie banners

The Court accentuates the importance of a DPO’s independence and concludes that the DPO must not participate in any decisions regarding the methods or objectives of the processing of personal data.

**Source:** https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

El TJUE se pronuncia sobre el conflicto de intereses de los DPD

EU-domstolen tydliggör vad som bedöms vara intressekonflikt för dataskyddsombud

CJEU declares ruling on conflict of interests for DPOs

In 2022, IMY has changed its approach to become more focused on incoming complaints from data subjects. Consequently, IMY has investigated more complaints than the year before. As a result, the authority has concluded three times more supervisions in 2022 than in 2021. Five supervisions resulted in issued administrative fines, totaling 9 720 000 SEK.

In the annual report, Lena Lindgren Schelin, Director-General, states that data protection and cyber security goes hand in hand and that the need for this interrelation has strengthened due to the troubled international situation. Hence, the authority argues that everyone must participate and work actively with data protection.

Finally, the Director-General expresses an ambition to further accelerate the work of IMY considering the increased budgetary allocation. Hence, Lindgren Schelin hopes that the authority will shorten its administrative processing time as well as improve the organization’s efficiency.

**Source:** https://www.imy.se/globalassets/dokument/arsredovisningar/imy-arsredovisning-2022.pdf

Se triplica el número de supervisiones finalizadas en 2022

 IMY avslutade tre gånger fler tillsynsärenden 2022 som året innan

Threefold increase in the number of concluded supervisions in 2022

Noticias

Nyheter

News

Do you have any questions or would you like to book a demo? We are ready to assist you on your journey towards a simpler everyday life.

The project focuses on finding a balance between combating financial crime and ensuring individuals' personal privacy.

Money laundering is a serious issue that affects society as a whole, and banks play a central role in detecting and preventing it. At the same time, they must handle large amounts of personal data in accordance with GDPR, which imposes strict requirements on data protection and the secure handling of customer information.

The project explores how banks can share necessary information to detect suspicious activity without violating the General Data Protection Regulation. The goal is to develop clear guidelines that enable banks to comply with both anti-money laundering laws and GDPR.

Through collaborations like this, IMY and the participating banks hope to create more efficient processes for fighting money laundering while protecting individuals' right to privacy.

Source: https://www.imy.se/nyheter/imy-och-banker-i-gdpr-projekt-for-minskad-penningtvatt/

IMY och banker samarbetar i nytt GDPR-projekt för att minska penningtvätt

IMY and banks collaborate on a new GDPR project to reduce money laundering

The increased funding is intended to provide IMY with better resources to address changes in the legal landscape, particularly concerning the handling of complaints and new requirements from EU regulations. Additionally, there is a growing need for supervision of camera surveillance due to changes in the camera surveillance law, as well as increased demand for guidance related to technological development and innovation.

David Törngren, Acting Director General of IMY, expressed his appreciation for the government's proposal, viewing it as a recognition of the importance of the authority's mission.

Karin Lönnheden, Chief of Staff at IMY, emphasized that the additional funding will enhance the authority's ability to provide guidance to organizations in various sectors on complex data protection issues and contribute to sustainable digital development.

Source: [https://www.regeringen.se/contentassets/bfe4593f9b0d462f834bc8bbd052a921/utgiftsomrade-1-rikets-styrelse.pdf](https://www.regeringen.se/contentassets/bfe4593f9b0d462f834bc8bbd052a921/utgiftsomrade-1-rikets-styrelse.pdf)

IMY tilldelas ökade anslag för att stärka sitt arbete med dataskydd

IMY is granted increased funding to strengthen its work on data protection

The issue of voluntary publishing certificates has garnered attention in several rulings during the spring of 2024, including the Supreme Administrative Court's granting of leave to appeal and the Attunda District Court's request for a preliminary ruling from the EU Court of Justice. This could directly complicate the ability of companies providing background checks to obtain information about legal violations from authorities.

In March, the Administrative Court of Appeal in Stockholm ruled that a company holding a voluntary publishing certificate could not access information about legal violations, as it was assumed that the subsequent processing of the data would violate the General Data Protection Regulation (GDPR). The information was therefore deemed confidential.

In this case, a company requested personal data from the Prosecutor's Office, referencing a voluntary publishing certificate from the Swedish Press, Radio, and Television Authority (now the Media Authority), claiming that the personal data was intended for future journalistic activities. Previously, the company had indicated to the authority that it was conducting background checks and consulting services for recruitment. The Prosecutor's Office rejected the request, as it was not clearly evident that the journalistic purpose was primary, meaning that the Swedish exception from GDPR for journalistic activities was not applicable.

The Administrative Court of Appeal denied the company's appeal against the Prosecutor's Office's decision, ruling that the general exemption from GDPR under the Swedish Data Protection Act for holders of publishing certificates cannot always be applied as strictly as prescribed by law.

Going forward, it will be interesting to follow the developments regarding the delineation between the constitutionally protected principle of public access to information and EU law. Swedish courts have previously determined that constitutional protection takes precedence over the General Data Protection Regulation. If the Administrative Court of Appeal's ruling gains significant traction among Swedish authorities, it will represent a shift in previous court practices and will impact businesses that have relied on publishing certificates. This could, in turn, affect organizations that use search services for background checks.

The Administrative Court's decision: The delineation between constitutional protection and GDPR sparks debate and impacts companies' ability to conduct background checks

AI systems deemed to pose an unacceptable risk to citizens will be prohibited. This includes a ban on the use of facial recognition in public spaces (with certain exceptions for law enforcement), systems designed to manipulate or deceive human behavior or emotions, and social scoring. AI systems classified as high-risk will need to meet stringent requirements before being placed on the market. Examples of high-risk AI include systems used in critical sectors such as employment and education, critical infrastructure, credit assessment, and biometric identification and categorization of individuals. AI systems in these sectors must undergo thorough review and certification to ensure they are safe and do not violate fundamental rights. Requirements include the use of a risk management system, technical documentation, human oversight, and transparency and information obligations.

In light of the recent rapid development of generative AI and "foundation models," such as those used by ChatGPT and others, specific regulations have been introduced in the AI regulation. These rules will cover foundation models trained on extensive datasets that can perform a wide range of tasks. These models will be subject to different levels of obligations depending on the degree to which they are considered to pose risks to society.

For AI systems with a lower risk level (e.g., virtual assistants, chatbots, and so-called deepfakes), transparency requirements will apply. This means that users must be informed when and to what extent they are interacting with AI and encountering AI-generated content.

The AI regulation will place the greatest responsibility on AI system providers (developers and those bringing the systems to the EU market). Organizations using AI systems will also bear responsibility for their use, such as maintaining human oversight and preserving logs of AI system activity. Entities that brand an AI system, make significant changes to it, or alter its use may be held accountable in the same way as providers of high-risk AI.

Sanctions for violations of the AI regulation will follow a similar model to GDPR and can amount to a maximum of €35 million or 7% of the global annual turnover of the company (whichever is higher).

Although the AI regulation is expected to come into effect this summer, it is currently planned to be implemented in phases from late autumn 2024 to spring 2027. The rules for high-risk AI will specifically begin to apply in spring 2026, but it is prudent to start preparing and examining how the regulation will affect one’s own organization.

The Data Act also facilitates easier transitions between different cloud service providers and requires that users be able to switch from, for example, a cloud solution to an on-premises solution (i.e., local data storage). Additionally, security measures will be introduced to prevent illegal transfers of data to countries outside the EU/EEA.

Another important aspect of the Data Act is that public bodies, the European Commission, the European Central Bank, and EU agencies are given the ability to access and use data held by the private sector, provided it is necessary due to exceptional circumstances. Examples of such circumstances include fulfilling a public interest mandate or responding to societal crises such as floods or wildfires.

The Data Act will be applicable from September 12, 2025. It marks a significant change in the management of data and cloud services. Therefore, it is crucial for cloud service providers, manufacturers of connected products and services, and companies looking to capitalize on the opportunities presented by the Data Act to start planning ahead to understand how it will affect their operations.

**Källa**: [\[Data Act | Shaping Europe’s digital future (europa.eu)\](Data Act | Shaping Europe’s digital future (europa.eu))](https://digital-strategy.ec.europa.eu/en/policies/data-act)

Snart träder AI-förordningen i kraft

The AI regulation will soon come into effect

When a new employee at the company was given access to her email account, she discovered she had access to another employee´s inbox. Consequently, she had access to all emails received and sent by the other employee. The employee given the faulty access reported this to the AEPD. After an investigation, the AEPD concluded that the incident occurred because of a faulty configuration of the email account. Therefore, the AEPD found that the company had not implemented appropriate technical and organizational measures, which is a breach of the principle of integrity and confidentiality in the GDPR.

**Read more:** [**https://www.aepd.es/es/documento/ps-00581-2021.pdf**](https://www.aepd.es/es/documento/ps-00581-2021.pdf)

Imposición de sanción administrativa debido a configuración inadecuada de una cuenta de correo electrónico

Sanktion på grund av bristande konfigurering av e-postkonto

Fine issued following faulty configuration of email account

On September 16, 2022, the Swedish Court of Appeals issued the judgement regarding the size of the penalty fee to Stockholms Stad in a case of several violations of the GDPR. The violations regarded deficiencies in a school platform. IMY appealed the decision of the Swedish Administrative Court (förvaltningsrätten) regarding a 3 million SEK sanction fee and demanded the upholding of IMY’s previous decision (4 million SEK sanction fee).

The deficiencies in the platform meant that it was possible for teachers and parents to access information that one should not have access to. The processing regarded several hundred thousand of people, the majority of whom were students and guardians.  The information included sensitive personal data as well as data with high protectional value, such as student reviews and confidential personal data. The violations were found to be of a serious nature and relatively long-lasting.

The Swedish Court of Appeal examined the presence of mitigating and aggravating circumstances. The court found that the fact that no previous violations had occurred was not to be considered as a mitigating factor, and that it therefore should not affect the size of the penalty fee. Neither the cooperation of the municipal council was to be viewed as a mitigating circumstance in this case since the cooperation did not reduce the occurred damages. Furthermore, the court found that the nature of the processing and the protectional value of the personal data amounts to high demands regarding the security of the system. The fact that it required a certain technical knowledge to exploit the deficiencies in the system was not considered to affect the degree of responsibility that the municipal council had as personal data controller. The court held that the violations in question justified a penalty fee of at least 4 million SEK. Therefore, the decision of IMY was upheld.

**Read more:** [Kammarrätten i Stockholms dom den 2022-09-16 i mål nr 7837-21](https://techlaw.se/wp-content/uploads/2022/09/KR7837-21.pdf)

El Tribunal de Casación confirma la decisión de la Autoridad de Supervisión de Suecia

Kammarrätten fastställer IMY:s beslut mot Stockholms stad

Court of Appeals upholds the decision of the Swedish Supervisory Authority

By collecting images from websites, social media and videos, the Clearview AI company has created an image bank that they market as an image search engine. Using facial recognition, the search engine can find a person based on their photograph and a "biometric template", that is, a digital representation of a person's physical characteristics (the face in this case). Many data subjects in the image bank are unaware of this and of the possibility of identifying them using the biometric template. According to the CNIL, the processing lacks a legal basis as the company has not obtained consent from the data subjects and cannot be considered to have a legitimate interest in the processing. The CNIL attaches particular importance to the fact that the processing poses very serious risks to the data subjects' fundamental rights.

After Clearview AI did not stop processing the data after the CNIL called on them to do so, the CNIL has now decided to fine the company 20 million euros. The CNIL also announced that Clearview AI must cease all illegal collection and processing of French citizens' personal data. The company is given two months to delete all personal data already collected and for each day that passes these two months, the penalty fee is increased by 100,000 euros.

**Source:** [Facial recognition: 20 million euros penalty against CLEARVIEW AI | CNIL](https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai)

La autoridad francesa «Commission Nationale de l'Informatique et des Libertés» (CNIL) ha impuesto una sanción administrativa de 20 millones de euros contra la empresa Clearview AI

CNIL har utfärdat en sanktionsavgift på 20 miljoner euro mot Clearview AI 

CNIL has issued a penalty fine of 20 million euros against Clearview AI

For example, the new framework contains requirements that signals intelligence activities shall only be conducted with the aim of achieving established national security objectives and that they shall only be conducted when necessary to further an intelligence activity that has been confirmed and prioritised. These commitments have not yet been accepted as sufficient by the European Commission, which must consider if the commitments are enough to combat the problems which lead to the invalidation of Privacy Shield through Schrems II. The European Commission will now prepare a draft adequacy decision and then launch its adoption procedure.

**Source:** [Questions & Answers: EU-U.S. Data Privacy Framework (europa.eu)](https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045)

Biden undertecknar en presidentorder som ska möjliggöra datadelning mellan EU och USA

Biden signs an Executive Order to enable data sharing between the EU and the US

The Swedish Data Protection Authority (IMY) will now review Vklass' handling of the personal data breach in the learning platform, in Vklass’ role as a data processor. Questions addressed to Vklass are centered around the GDPR roles (controller and processor), the personal data breach and security measures.

**Source:** [tillsynsskrivelse-vklass.pdf (imy.se)](https://www.imy.se/globalassets/dokument/ovrigt/tillsynsskrivelse-vklass.pdf)

La agencia sueca IMY inicia la supervisión de Vklass tras recibir unos 60 informes

IMY inleder tillsyn av Vklass efter ett 60-tal anmälningar

IMY begins supervision of Vklass after about 60 reports

Cookies on websites are used to collect statistics and gain access to information that is stored on, for example, a user's mobile or computer. Data may be stored or retrieved provided that the user gives their consent and has access to clear and complete information about the purpose of the processing. PTS has chosen to review Swedbank, the Public Health Agency (_sv. Folkhälsomyndigheten_), the Swedish Consumer Agency (_sv. Konsumentverket_) and Tele2 in their first review but points out that reviews concerning other organisations will be initiated in the future. Initially, PTS has requested information from the supervised objects, which will then be reviewed.

**Source:** [PTS granskar om webbplatsinnehavare följer kakreglerna | PTS](https://www.pts.se/sv/nyheter/internet/2022/pts-granskar-om-webbplatsinnehavare-foljer-kakreglerna/)

El organismo Correos y Telecomunicaciones de Suecia (PTS) está iniciando una investigación del cumplimiento de la normativa del uso de las cookies

PTS inleder granskning av efterlevnaden av kakregler

PTS is starting a review of compliance with cookie-rules

Artículos

Artiklar

Articles

Want to see the software before you decide? Book a demo and we will show you how it works.

 OnePartnerGroup fue un adelantado en materia del RGPD y la denuncia de irregularidades

OnePartnerGroup var tidiga med visselblåsarfunktion

thumbnail_03_OPG_Logo_Svart_RGB.png

03_OPG_Logo_Svart_RGB.png

 OnePartnerGroup was early with GDPR and whistleblowing

Det är arbetsgivarens ansvar att säkerställa att inga otillåtna behandlingar av personuppgifter utförs. Det faller därmed under dennes ansvar att bestämma över hur organisationens IT-utrustning ska användas av anställda. Berättigat behov av att följa upp att regler och rutiner följs kan en arbetsgivare ha, men kontrollen får aldrig vara mer ingripande än nödvändigt. En sådan kontroll får inte utformas eller användas på ett sätt som innebär ett otillbörligt intrång i de anställdas integritet. Arbetsgivaren måste avgöra om kontrollen behövs utföras på individnivå och ska utifrån det med stöd av lämplig rättslig grund se till att behandlingen inte är för närgången och omfattande i förhållande till ändamålet. Anställda har alltid rätt till skydd för sin kommunikation och sitt privatliv, därmed får en kontroll inte ha som avsikt att granska arbetstagarens privata filer eller e-postmeddelanden.

It is the employer's responsibility to ensure no unauthorized processing of personal data occurs. It thus falls under their purview to determine how the organization's IT equipment is used by employees. While an employer might have legitimate reasons to monitor that rules and procedures are being followed, the monitoring should never be more invasive than necessary. Such control must not be designed or used in a way that unduly infringes on the employees' privacy. The employer must decide if the monitoring needs to be done at the individual level and ensure the monitoring isn't too intrusive or extensive for its purpose. Employees always have a right to privacy in their communication and private life, so any control should not aim to examine an employee's private files or emails.

Nej. Detta eftersom lönebesked kan innehålla känsliga uppgifter. Lämpliga sätt att lämna lönebesked kan vara genom en egen inloggning där den anställde själv kan se lönebeskedet, att skicka det till digitala brevlådor som Kivra eller Min myndighetspost, vanlig post eller intern papperspost.

No. This is because payslips can contain sensitive data. Appropriate ways to deliver payslips can be through personal login where the employee can see the payslip themselves, to send it to digital mailboxes like Kivra or Min myndighetspost, or regular mail.

Arbetsgivares rätt att kontrollera sina anställda regleras i första hand genom arbetsrätten men om kontrollen innebär att arbetsgivaren behandlar uppgifter om anställda måste arbetsgivaren följa dataskyddsförordningen. För att behandlingen ska vara laglig krävs det att arbetsgivaren följer grundläggande principer, har stöd i en rättslig grund och har lämnat tillräcklig information till de anställda senast i samband med att uppgifterna i fråga samlades in. Anställda har rätt att i förväg få tydlig information om vilka kontroller som kan göras av dem med hjälp av de uppgifter som arbetsgivaren samlar in om dem, till exempel i samband med att de använder arbetsplatsens IT-utrustning. Informationen ska som regel lämnas senast när uppgifterna samlas in, men behöver därefter inte lämnas vid varje kontrolltillfälle.

An employer's right to monitor its employees is primarily governed by labor law, but if the monitoring involves the employer processing data about the employees, the employer must adhere to the data protection regulation. For this processing to be legal, the employer must follow fundamental principles, have a legal basis, and have provided sufficient information to the employees by the time the data was collected. Employees have the right to be informed in advance about what kind of monitoring can be done using the information the employer collects about them, e.g., when they use the workplace's IT equipment. This information should generally be given when the data is collected but doesn't need to be repeated for each monitoring event.

Fordon och annan arbetsutrustning är ofta utrustade med någon form av positioneringsteknik. Sådan teknik möjliggör en närgången övervakning av anställda och medför risker för otillbörliga integritetsintrång. Privata arbetsgivare som vill använda positioneringssystem som kan knytas till enskilda anställda måste normalt kunna stödja sig på en intresseavvägning. Offentliga arbetsgivare, och andra arbetsgivare som utför en uppgift av allmänt intresse, som vill använda sig av positioneringsteknik ska i stället kunna visa att behandlingen behövs för den uppgiften, till exempel om behandlingen behövs för uppgiften att bedriva kollektivtrafik. Positioneringsteknik får inte användas för att kontrollera hur länge den anställda arbetar eller dennes positionering utöver arbetstid.

Vehicles and other work equipment are often equipped with some form of positioning technology. Such technology enables close monitoring of employees and poses risks of undue privacy invasions. Private employers wishing to use positioning systems linked to individual employees typically need to rely on a balance of interests. Public employers, or those performing a task in the public interest, should be able to show that the processing is necessary for that task, e.g., running public transport. Positioning technology shouldn't be used to monitor an employee's working hours or their location outside of working hours.

Kamerabevakning innebär ett integritetsintrång och för att kamerabevakning av anställda på deras arbetsplats ska vara tillåtet krävs det starka skäl. Det är inte tillåtet för arbetsgivare att använda kamerabevakning för att regelmässigt kontrollera hur de anställda arbetar. Det kan däremot vara tillåtet att bevaka delar av en arbetsplats där det finns särskilt riskfylld tillverkningsprocess och där övervakningen har som syfte att förhindra olyckor. Vid eventuell övervakning ska anställda informeras och GDPR:s samt kamerabevakningslagens bestämmelser ska följas. Material från kamerabevakning omfattas av tystnadsplikt och innebär att eventuella bilder på anställda inte får lämnas ut till andra arbetsgivare eller publiceras på internet.

Camera surveillance involves an invasion of privacy, and strong reasons are required for it to be allowed in the workplace. Regularly using camera surveillance to monitor how employees work is not permitted. However, monitoring parts of a workplace with high-risk processes to prevent accidents might be allowed. If surveillance is used, employees must be informed, and the provisions of both GDPR and surveillance laws followed. Footage from camera surveillance is confidential and should not be shared with other employers or published online.

Själva lönen i kronor är en särskilt skyddsvärd uppgift men inte en känslig personuppgift enligt GDPR. Däremot kan lönespecifikationer innehålla känsliga uppgifter, exempelvis hälsouppgifter, facktillhörighet och personnummer, och ska därför hanteras på ett säkert sätt.

The actual salary in SEK (Swedish kronor) is a particularly protected piece of information, but it's not a sensitive personal data under GDPR. However, pay specifications may contain sensitive information, such as health information, trade union membership, and personal identification numbers, and should therefore be handled safely.

Ja. Av IMY:s förteckning över när konsekvensbedömningar ska göras framgår att en konsekvensbedömning ska genomföras när en organisation inför ett gemensamt system i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen – ett så kallat visselblåsarsystem.

Yes. According to IMY's list of when data protection impact assessments should be carried out, an assessment should be carried out when an organization introduces a joint system in which it is possible to report irregularities in the workplace – a so-called whistleblowing system.

Det är enbart offentliga aktörer och andra som utför en uppgift av allmänt intresse som behöver tillstånd om de vill kamerabevaka på en plats där allmänheten har tillträde, om denna bevakning innebär varaktig eller regelbundet upprepad personbevakning. För verksamheter som inte är tillståndspliktiga behövs inget tillstånd för kamerabevakningen. Att tillstånd inte behövs innebär däremot inte att bevakning är tillåten, utan bestämmelserna i GDPR och kamerabevakningslagen ska följas.

Only public actors and others performing a task of general interest need permission if they want to camera monitor in a place where the public has access, if this surveillance involves continuous or regularly repeated personal surveillance. For businesses that are not subject to licensing, no license is required for camera surveillance. The fact that no permit is needed, however, does not mean that surveillance is allowed, but the provisions of the GDPR and the Camera Surveillance Act must be followed.

Ja, se svar på frågan _”Hur gör jag om en anställd kommer och berättar om sina problem? Måste jag då skriva ner ett samtycke innan för att få ta del av de här uppgifterna?”_ Om det ligger utanför arbetsgivaransvaret måste arbetsgivaren ta ställning till om det finns en annan tillämplig laglig grund för behandlingen av personuppgifterna. Vad gäller verksamheten så utgör sådan information inte personuppgifter eftersom den inte berör en fysisk person.

Yes, see the answer to the question "What do I do if an employee comes and talks about their problems? Do I then need to write down consent before getting access to this information?" If it falls outside the employer's responsibility, the employer must decide if there's another applicable legal basis for processing the personal data. As for business-related matters, such information is not personal data as it does not concern an individual.

Ja. Organisationer får ta en första kontakt baserat på den lagliga grunden intresseavvägning. Vill den kontaktade personen inte bli kontaktad framöver måste rekryteraren respektera detta och ta bort personuppgifterna samt upphöra med behandlingen av personens personuppgifter.

Yes. Organizations can make initial contact based on the legal basis of a balance of interests. If the contacted person does not want to be contacted in the future, the recruiter must respect this and delete the personal data and cease processing the person's personal data.

Vid rekrytering är huvudregeln att det enbart är myndigheter som får behandla personuppgifter om lagöverträdelser, vilket ofta är det som avses med en bakgrundskontroll. Vid anställningsintervjuer kan det förekomma att arbetsgivaren kräver uppvisning av ett utdrag ur polisens belastningsregister. Begäran på belastningsregisterutdrag av arbetsgivaren omfattas inte av dataskyddsförordningen om detta sker enbart genom frågor eller uppvisning. Dataskyddsförordningen gäller däremot om arbetsgivaren samlar in och behandlar personuppgifter, till exempel scannar in utdrag från belastningsregistret eller registrerar uppgifter om en enskild persons tidigare brottslighet. Utan särskilt författningsstöd är det inte tillåtet enligt dataskyddsförordningen att behandla personuppgifter om lagöverträdelser i samband med kontroll av utdrag ur belastningsregistret.

In recruitment, the main rule is that only authorities can process personal data about legal offenses, which is often what is meant by a background check. During job interviews, the employer may require a record from the police criminal record. The employer's request for a criminal record extract is not covered by the data protection regulation if this is done only through questions or presentation. The data protection regulation applies, however, if the employer collects and processes personal data, for example, scanning extracts from the criminal record or registering information about an individual's previous criminality. Without specific regulatory support, it is not permitted under the data protection regulation to process personal data on legal offenses in connection with checking extracts from the criminal record.

Om landet där personuppgifterna ska behandlas inte omfattas av listan från EU-kommissionen kan överföringen ändå vara tillåten om lämpliga skyddsåtgärder har vidtagits, förutsatt att det finns lagstadgade rättigheter för den registrerade och effektiva rättsmedel, det vill säga att den registrerade kan vända sig till en domstol och få en fråga prövad. Lämpliga skyddsåtgärder omfattar exempelvis ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter och organ, bindande företagsbestämmelser (BCR) och standardavtalsklausuler som antagits av Kommissionen eller av en tillsynsmyndighet och därefter godkänts av Kommissionen.

If the country where the personal data will be processed is not included in the list from the EU Commission, the transfer can still be allowed if appropriate safeguards have been taken. This assumes that there are statutory rights for the data subject and effective remedies, meaning that the data subject can seek legal redress. Appropriate safeguards include legally binding and enforceable instruments between public authorities and bodies, binding corporate rules (BCR), and standard contractual clauses approved by the Commission or a supervisory authority and subsequently approved by the Commission.

Om det finns ett befintligt kundförhållande mellan kunden och den personuppgiftsansvarige får den personuppgiftsansvarige skicka reklam till kunden, förutsatt att kunden inte har motsatt sig det. Som utgångspunkt får personuppgifter om en före detta kund användas för marknadsföringsändamål under ett år efter det att kundförhållandet har avslutats. Detta förutsätter dock att kunden inte har begärt att bli borttagen ur registret.

If there's an existing customer relationship, the data controller can send advertisements to the customer unless they have objected. Typically, data on a former customer can be used for marketing purposes for up to a year after the customer relationship has ended unless the customer has requested removal from the register.

GDPR gäller även för personuppgiftsbehandling utanför EU om den har viss anknytning till EU. GDPR gäller för all behandling av EU-medborgares personuppgifter, oavsett om organisationen som genomför behandlingen är lokaliserade inom EU eller inte. En shoppingsida i Kina som vänder sig till EU-medborgare (erbjuder hemsidan på engelska, euro som valbar valuta eller liknande) omfattas således av GDPR på samma sätt som en organisation i Sverige.

GDPR's ambit is not confined to the EU. It also governs data processing activities outside the EU, especially when linked to the EU. GDPR is applicable to all processing of EU citizens' personal data, regardless of the data controller's or processor's location. For instance, a Chinese e-commerce platform catering to EU citizens would fall under GDPR's purview similarly to a Swedish entity.

GDPR hindrar inte att allmänna handlingar lämnas ut. I GDPR anges att personuppgifter i allmänna handlingar som finns hos exempelvis myndigheter får lämnas ut med stöd av nationell lagstiftning. Det kan dock finnas sekretess som hindrar ett utlämnande. Det tar den utlämnande myndigheten ställning till.

GDPR kan dock påverka hur handlingarna bör lämnas ut. Lämnar myndigheten ut handlingar som innehåller personuppgifter digitalt med e-post behöver myndigheten bedöma om säkerhetsåtgärder ska skydda handlingarna.

GDPR does not prevent public documents from being released. The GDPR states that personal data in public documents held by, for example, authorities, may be released under national legislation. However, there may be confidentiality that prevents disclosure. The disclosing authority decides on this. GDPR can, however, affect how the documents should be released. If the authority releases documents containing personal data digitally via email, the authority must assess whether security measures should protect the documents.

För att avgöra huruvida en personuppgiftsansvarig eller ett personuppgiftsbiträde är skyldig att utse ett dataskyddsombud måste man förstå innebörden av begreppet ”kärnverksamhet”. Det är personuppgiftsbehandlingarna i kärnverksamheten som avgör om en organisation behöver en DSO, och inte behandlingarna som sker i olika stödprocesser, exempelvis vid lönehantering eller sjukfrånvaro för anställda.

Kärnverksamheten är en organisations primära verksamhet som är nödvändig för att organisationen ska leva upp till sina mål. Exempelvis måste en skobutik sälja skor för att nå målen med sin verksamhet och en skola behöver bedriva undervisning, vilket omfattar stora mängder personuppgifter, för att kunna lära ut.

Aktiviteter som innebär behandling av personuppgifter och som oundvikligen hör ihop med det som kan anses vara kärnverksamheten kan medföra att ett dataskyddsombud måste utses. Exempelvis hör hantering av patientjournaler med känsliga uppgifter oundvikligen ihop med sjukhusets kärnverksamhet som är att erbjuda hälso- och sjukvård och ett vaktbolags övervakningsloggar som är nödvändiga för att sälja övervakningstjänster hör ihop med deras kärnverksamhet.

Som tidigare nämnt räknas inte stödprocesser som IT-support, lönehantering och sjukfrånvaro för anställda in i kärnverksamheten trots att dessa aktiviteter är nödvändiga för att en organisation ska kunna bedriva sin dagliga verksamhet.

To determine whether a data controller or processor should designate a DPO, one must comprehend the term "core activity". The core activity's data processing activities dictate the necessity for a DPO, not those related to support processes like payroll or employee sick leave management. The core activity represents the primary functions essential for the organization to fulfill its objectives. For instance, a shoe store's primary objective is to sell shoes, and a school's principal function is to educate, which necessitates handling substantial amounts of personal data. Activities integral to what can be deemed as the core function may necessitate the appointment of a DPO. Examples include managing patient records with sensitive data for hospitals and security logs for security companies. Support functions such as IT support, payroll, and sick leave, even if essential for daily operations, are not considered core activities.

”Regelbunden” har av den Europeiska dataskyddsstyrelsen tolkats som något av följande:

*   Löpande eller förekommande vid specifika intervall under en viss period.
*   Återkommande eller upprepande vid bestämda tidpunkter.
*   Pågår konstant eller periodvis.

”Systematisk” tolkas som något av följande:

*   Förekommer enligt ett system.
*   Förbestämt, organiserat eller metodiskt.
*   Sker som en del av en allmän plan för datainsamling.
*   Utförs som en del av en strategi.

The European Data Protection Board interprets "regular" as continuous or at specific intervals, recurring at set times, or constantly or occasionally occurring. "Systematic" is interpreted as occurring within a system, pre-arranged, organized, methodical, part of a data collection strategy, or as part of a broader strategy.

GDPR ger ingen direkt information om vad som avses med stor omfattning. Vägledningar som har publicerats belyser dock vissa faktorer som man bör ta hänsyn till när man bedömer om något ska anses vara stor omfattning:

*   Antal registrerade som omfattas, antingen ett specifikt antal eller i proportion till den relevanta gruppen;
*   Volymen av uppgifter och/eller mängden olika uppgifter som behandlas;
*   Hur länge behandlingen pågår och den geografiska omfattningen av behandlingen.

Exempel på behandlingar i stor omfattning inkluderar:

*   Behandling av patientuppgifter i den dagliga verksamheten på ett sjukhus.
*   Behandling av reseuppgifter om individer som använder kollektivtrafiken, exempelvis spårning via resekort.
*   Behandling av kundinformation i den dagliga verksamheten på ett försäkringsbolag eller bank.
*   Behandling av personuppgifter för individanpassad marknadsföring som genomförs av en sökmotor.
*   Behandling av personuppgifter som genomförs av företag som tillhandahåller telefon- eller internettjänster vilka omfattar innehåll, positionering och trafik.

The GDPR does not provide a direct definition of "large-scale". However, published guidelines highlight factors to consider, such as:

• Number of affected data subjects, either a specific number or in relation to the relevant group;

• Volume or diversity of the data being processed;

• Duration and geographic scope of the processing.

Examples of large-scale processing include daily patient data processing in hospitals, tracking public transportation users, customer data processing in banks or insurance companies, targeted marketing by search engines, and processing by telecom or internet service providers.

Det som är viktigt för samtliga organisationer är förstås att ha en fastställd intern rutin för hur dessa frågor hanteras.

*   Vad gör vi om en incident inträffar?
*   Vem gör vad?
*   Hur följer vi upp?

**Steg 1** är att upprätta en rutin med tydliga ansvarsfördelningar. Om ni har ett dataskyddsombud bör denne involveras så snart en incident har upptäckts för att kunna bidra med rådgivning.

**Steg 2** blir att upprätta tydliga dokumentationsramar för hur samtliga incidenter ska loggas och sparas.

**Steg 3** – följ upp. Fungerar era rutiner? Behöver säkerhetsåtgärderna justeras för att förhindra framtida incidenter? Utvärdera ert arbete för att säkerställa att ni alltid gör vad ni kan för att skydda de registrerades personuppgifter och det förtroende ni har fått.

It is important for all organizations to have a set internal procedure for handling these issues.

• What do we do if an incident occurs?

• Who does what?

• How do we follow up?

Step 1 is to establish a procedure with clear responsibilities. If you have a data protection officer, they should be involved as soon as an incident is discovered to provide advice.

Step 2 is to establish clear documentation frameworks for how all incidents should be logged and saved.

Step 3 – follow up. Do your routines work? Do security measures need to be adjusted to prevent future incidents? Evaluate your work to ensure that you always do what you can to protect the registrants' personal data and the trust you have been given.

Om en personuppgiftsansvarig, exempelvis en marknadsförare, samlar in personuppgifter om personer som denne inte har någon befintlig kundrelation till i syfte att använda uppgifterna i marknadsföring bör uppgifterna tas bort snarast efter att de har använts. Som tumregel får uppgifterna bevaras under tre månader från det att de samlats in.

Läs mer om branschöverenskommelser för användning av personuppgifter vid direktmarknadsföring genom länken nedan.

[https://www.swedma.se/](https://www.swedma.se/)

If a data controller collects personal data for marketing without an existing relationship, the data should be deleted shortly after use. As a rule of thumb, data should be retained for up to three months after collection.

Uppgifter om kunder får inte bevaras längre än nödvändigt för det ändamål de ursprungligen inhämtades för. När en säljare behandlar personuppgifter om kunder får inte uppgifterna bevaras längre än nödvändigt för att genomföra köpet och fullgöra eventuella åtaganden efteråt. Vid köp av viss vara är köpet som huvudregel avslutat när varan är levererad och helt betald. Det finns däremot situationer där köpet inte anses avslutats trots att varan är levererad och helt betald. En sådan situation är när säljaren har förbundit sig att fullgöra eventuella garantiåtaganden. Ett garantiåtagande kan därför motivera att vissa personuppgifter får bevaras tills garantin har gått ut.

You cannot retain customer data longer than necessary for the purpose they were originally collected for. When a seller processes personal data about customers, this data shouldn't be retained longer than needed to fulfill the purchase and any subsequent obligations. However, there are situations where the purchase is considered incomplete even after the item has been delivered and fully paid. Such situations include when the seller commits to honoring warranty obligations. Therefore, some personal data might be retained until the warranty expires.

Er organisation ska registrera att ni utsett ett dataskyddsombud (DSO) hos Integritetsmyndigheten. Detta görs genom blanketten nedan:

[https://www.imy.se/globalassets/dokument/blankett-dataskyddsombud.pdf](https://www.imy.se/globalassets/dokument/blankett-dataskyddsombud.pdf)

Entities must register their DPO with the Swedish Data Protection Authority (Integritetsskyddsmyndigheten). This is accomplished via the following form: [https://www.imy.se/globalassets/dokument/blankett-dataskyddsombud.pdf](https://www.imy.se/globalassets/dokument/blankett-dataskyddsombud.pdf)

Det första steget här är att ställa frågan: Finns behovet av att ha en CV-bank? Är svaret ja får ni behålla de CV:n där ni har en laglig grund för behandlingen, till exempel att ni har erhållit ett samtycke från den sökande och att ni har informerat den sökande om hens rättigheter som registrerad. Kommer ni fram till att svaret är nej skall dessa CV:n raderas.

Organisationer med en portal där sökande kan skicka in sina ansökningshandlingar ska informera huruvida de vill ha in spontanansökningar eller inte. Om organisationen vill ha spontanansökningar ska de informera den sökande om dennes rättigheter som registrerad, hur ansökningshandlingarna kommer att hanteras, när de kommer att gallras, samt att den sökande kan dra tillbaka sitt samtycke till lagringen när som helst. Organisationen bör informera den sökande om att utelämna känsliga uppgifter såsom etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, genetiska eller biometriska uppgifter, uppgifter om hälsa, uppgifter om sexualliv eller sexuell läggning från sina ansökningshandlingar eftersom den här typen av uppgifter som huvudregel inte får behandlas.

The first step is to ask: Is there a need for a CV bank? If the answer is yes, you may keep the CVs where you have a legal basis for processing, such as having obtained consent from the applicant and informed them about their rights as registered. If the answer is no, these CVs should be deleted. Organizations with a portal where applicants can submit their application documents should inform whether they want unsolicited applications or not. If the organization wants unsolicited applications, they should inform the applicant about their rights as registered, how the application documents will be handled, when they will be deleted, and that the applicant can withdraw their consent to storage at any time. The organization should advise the applicant to omit sensitive information such as ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic or biometric data, health information, or information on sexual life or orientation from their application documents as these types of data are generally not allowed to be processed.

Först och främst ska integritetsintrånget fastställas och det innebär att enskildes persons eventuella intresse av att inte bli kamerabevakad på platsen utreds. Detta utgör integritetsintresset i avvägningen. Sedan ska behovet av kamerabevakning fastställas, vilket utgör bevakningsintresset. Bevakningsintressen som särskilt ska beaktas vid kamerabevakning är att förebygga, upptäcka eller utreda brott, förbygga, förhindra eller upptäcka störningar av allmän ordning och säkerhet eller olyckor samt utöva kontrollverksamhet. Slutligen ska integritetsintresset och bevakningsintresset vägas mot varandra. Intresseavvägningen ska dokumenteras.

First and foremost, the infringement of privacy should be established, which means that the individual's potential interest in not being monitored by the camera at the location is investigated. This constitutes the privacy interest in the balance. Then, the need for camera surveillance is to be determined, which constitutes the surveillance interest. Surveillance interests that should be specifically considered for camera surveillance are to prevent, detect or investigate crimes, prevent, prevent or detect disturbances to public order and safety or accidents, and exercise control activities. Finally, the privacy interest and the surveillance interest are weighed against each other. The balance of interests should be documented.

Det finns fyra grundläggande krav på vad en konsekvensbedömning ska innehålla. Dessa kriterier kan användas av personuppgiftsansvariga för att bedöma huruvida en konsekvensbedömning är tillräckligt omfattande.

1.  En systematisk beskrivning av den planerade behandlingen och behandlingens syfte.
2.  En bedömning av om behandlingen är nödvändig och proportionerlig i förhållande till syftet med den.
3.  En bedömning av riskerna för de registrerades rättigheter och friheter.
4.  De åtgärder som ni planerar för att hantera riskerna och för att visa att dataskyddsförordningen efterlevs.

Utöver dessa krav ska konsekvensbedömningen också innehålla information om eventuellt dataskyddsombud samt inhämtade synpunkter från registrerade eller deras företrädare om det är lämpligt.

An impact assessment should contain:

1.  A systematic description of the intended processing and its purposes.
2.  An assessment of the processing's necessity and proportionality in relation to its purpose.
3.  An assessment of the risks to the rights and freedoms of Data Subjects.
4.  Measures planned to address these risks and demonstrate GDPR compliance.

Beyond these, the assessment should also include potential input from the Data Protection Officer and views from the Data Subjects or their representatives, if appropriate.

Den personuppgiftsansvarige ska utan onödigt dröjsmål, senast inom en månad, hantera begäran från den registrerade. Denna period får förlängas med ytterligare två månader beroende på hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning senast inom en månad från att begäran mottagits.

The Data Controller must act without undue delay and, at most, within one month from receiving the Data Subject's request. Depending on the complexity and number of requests, this period might be extended by another two months. The Data Subject should be informed about such an extension within one month of their request's receipt.

Behandling av personuppgifter kan enbart stödjas på en laglig grund och denna väljs innan behandlingen påbörjas. Under pågående behandling kan den lagliga grunden inte bytas ut.

Each instance of personal data processing can only be anchored to a single lawful basis, selected prior to commencing processing. One cannot substitute the lawful basis during ongoing processing.

All information ska som utgångspunkt tillhandahållas kostnadsfritt av den personuppgiftsansvarige. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt återkommande begäranden, får den personuppgiftsansvarige antingen:

*   ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller
*   vägra att tillmötesgå begäran.

Det är den personuppgiftsansvarige som ska kunna visa att begäran är uppenbart ogrundad eller orimlig.

By default, all information must be provided free of charge by the Data Controller. However, if a request from a Data Subject is manifestly unfounded or excessive, particularly if repetitive, the Data Controller can:

*   Charge a reasonable fee covering the administrative costs of providing the information or action requested, or
*   Refuse to act on the request.

It remains the responsibility of the Data Controller to prove that the request is manifestly unfounded or excessive.

Utgångspunkten är att behandling av känsliga personuppgifter är förbjudet, men det finns undantag när sådan behandling är tillåten. Utöver att någon av de undantag för  behandling av känsliga personuppgifter är tillämpligt ska också alla andra krav i GDPR följas.

The fundamental premise is that processing of sensitive personal data is prohibited. However, exceptions do exist. Beyond the applicability of these exceptions, all other GDPR stipulations must be adhered to.

Exceptions for Sensitive Personal Data Processing:

Legitimate processing of sensitive personal data must fall under one of the subsequent exceptions:

• Explicit consent from the data subject.

• Voluntary disclosure of sensitive data by the data subject.

• Processing in the vital interests of the data subject.

Furthermore, certain exceptions are available for specific non-profit entities, legal claims, and within judicial functions.

Om en medlem i en förening väljer att avsluta sitt medlemskap bör uppgifterna i medlemsregistret gallras. Däremot får uppgifterna om medlemmen finnas kvar under förutsättning att denne inte har betalat utestående medlemsavgifter alternativt inte lämnat tillbaka lånad egendom tillhörande föreningen. Härutöver kan personuppgifter om tidigare medlemmar under normala förhållanden bevaras under ett år efter avslutat medlemskap under villkoret att föreningen skall försöka värva tillbaka den tidigare medlemmen. Integritetsskyddsmyndigheten menar att en sådan behandling har stöd i en intresseavvägning. Om den tidigare medlemmen däremot tackat nej till att bli medlem igen ska dennes personuppgifter tas bort snarast. Viktigt att notera är att en intresseavvägning inte kan utgöra rättslig grund för känsliga uppgifter. Följaktligen har föreningar som behandlar känsliga uppgifter, exempelvis fackföreningar inte möjlighet att bevara känsliga uppgifter med stöd av en intresseavvägning. För att dessa föreningar skall få behandla känsliga personuppgifter för återvärvning krävs i regel att den registrerade har samtyckt till behandlingen.

If a member of an association decides to end their membership, the data in the member registry should be deleted. However, data can be retained if the member has unpaid membership fees or hasn't returned borrowed property from the association. Under normal circumstances, data about former members can be retained for up to a year after membership ends if the association tries to recruit them back. The data protection authority believes that such treatment is supported by a legitimate interest. If the former member declines the offer to rejoin, their data should be promptly deleted. Note that legitimate interest cannot justify the processing of sensitive data. Associations dealing with sensitive data, such as trade unions, cannot retain sensitive data based on legitimate interest. Processing sensitive data for recruiting purposes generally requires the data subject's consent.

Vid incident som sannolikt innebär en hög risk för den registrerade ska organisationen informera de registrerade som kan eller har drabbats. Syftet med att informera de registrerade är att de ska få specifik information om vilka åtgärder de ska göra för att skydda sig själva, exempelvis byta sitt lösenord om den personuppgiftsansvarige har upptäckt en läcka av just lösenord. Informationen ska gå ut så snart som möjligt efter upptäckten av incidenten.

In the event of an incident that is likely to pose a high risk to the registrant, the organization should inform the registrants who might or have been affected. The purpose of informing the registrants is that they should receive specific information about which actions they should take to protect themselves, such as changing their password if the data controller has discovered a leak of passwords. The information should be sent out as soon as possible after discovering the incident.

En personuppgiftsincident ska anmälan till IMY om det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter.

A personal data incident should be reported to IMY if it is not unlikely that the personal data incident poses a risk to individuals' rights and freedoms. The data controller should report the personal data incident to the Data Protection Authority (IMY) within 72 hours of discovery.

När ändamålet med behandlingen av personuppgifter är övervakning av de anställdas internet- och e-postanvändning ska uppgifterna gallras så fort de är irrelevanta för övervakningen i fråga. Därmed kommer gallringsrutinerna variera från organisation till organisation.

When the purpose of processing personal data is to monitor employees' internet and email usage, the data should be deleted as soon as they are irrelevant to the surveillance in question. Thus, the deletion routines will vary from organization to organization.

Personuppgifter om en anställd ska inte bevaras efter att denne har avslutat sin anställning om det inte är nödvändigt. I vissa fall måste uppgifter bevaras efter att en anställd har avslutat sin anställning. Detta är fallet om uppgifter bevaras för administrativa ändamål, till exempel utbetalning av pension från arbetsgivaren. Arbetsgivaren får även bevara rena faktauppgifter som exempelvis ”uppsägning på grund av arbetsbrist”. Som utgångspunkt finns det inte något skäl att spara e-postkontot och uppgifterna om en anställd på företagets webbplats när en anställning har upphört. Dessa uppgifter skall därför tas bort inom en rimlig tid, i normala fall inom en månad efter att anställningen har upphört.

Personal data about an employee should not be retained after they have ended their employment unless necessary. In some cases, data must be retained after an employee has left. This applies if data is kept for administrative purposes, such as paying pensions from the employer. The employer can also keep factual information such as "termination due to lack of work". As a starting point, there is no reason to save the email account and information about an employee on the company's website when employment has ceased. This information should therefore be removed within a reasonable time, normally within a month after the employment has ended.

För över uppgifterna till lämpligt HR-system eller annan säker lagringsyta där de är skyddade och radera sedan mailet eller SMS:et.

Transfer the data to an appropriate HR system or another secure storage area where it's protected, then delete the email or SMS.

Det finns olika grunder på vilka man lagligen kan överföra personuppgifter till ett tredje land. Antingen (i) finns ett beslut från EU-kommissionen om att landet/regionen/organisationen uppfyller kravet på en adekvat skyddsnivå, (ii) lämpliga skyddsåtgärder har vidtagits eller (iii) vissa särskilda undantagsvillkor är uppfylla.

There are different bases on which personal data can legally be transferred to a third country. Either (i) the EU Commission has decided that the country/region/organization meets the requirements for an adequate level of protection, (ii) appropriate safeguards have been implemented, or (iii) certain specific exceptions are met.

Eftersom ett CV med största sannolikhet innehåller information om personnummer ska dessa inte ligga kvar på mailen om ansökningar kommer in den vägen, ansökan bör i sådant fall flyttas till en digital mapp med behörighetsstyrning. Den digitala mappen ska alltså inte vara tillgänglig för alla på organisationen. Organisationer bör undvika att ta emot CV:n via mail, särskilda system för rekryteringsförfarandet med behörighetsstyrning och andra säkerhetsåtgärder rekommenderas för att säkerställa ett lämpligt skydd för personuppgifterna.

Detsamma gäller om organisationen önskar analog förvaring av CV:n. Ska ett CV lagras i exempelvis en pärm måste den placeras i ett rum som går att låsa och på så sätt begränsa tillgängligheten till ansökningarna.

Since a CV is likely to contain personal identification numbers, they should not remain in emails if applications come in that way; they should be moved to a digital folder with access control. The digital folder should not be accessible to everyone in the organization. Organizations should avoid receiving CVs via email; special systems for the recruitment process with access control and other security measures are recommended to ensure appropriate protection of personal data. The same applies if the organization wants to store CVs analogously. If a CV is stored in, for example, a binder, it must be placed in a lockable room to limit accessibility.

Det beror på. Faktorerna som spelar in är storleken på organisationen, informationen som behandlas och vilken policy som organisationen har satt upp.

It depends. Factors to consider include the size of the organization, the information being processed, and the policy set up by the organization.

Ja, olika regler gäller beroende på premisserna en ansökan mottagits. En ansökan som sker som svar på en jobbannons ska i sin helhet lagras i 2 år i enlighet med diskrimineringslagen. Detta beror på att beslutet i rekryteringsprocessen är möjligt att överklaga under denna tidsperiod.

En spontanansökan kan få sparas om den sökande ger sitt samtycke till detta i samband med att ansökan skickas in. Däremot måste organisationen i sådant fall informera den registrerade (arbetssökande) om vederbörandes rättigheter, gallring och att samtycket kan återkallas.

Om en ansökan innehåller känsliga personuppgifter bör denna returneras med uppmaning om rensning av de känsliga uppgifterna.

Yes, different rules apply depending on the premises under which an application is received. An application in response to a job ad must be stored in its entirety for 2 years according to the discrimination law. This is because the decision in the recruitment process can be appealed during this period. Unsolicited applications can be saved if the applicant gives their consent when submitting the application. However, the organization must inform the registered (job seeker) about their rights, deletion, and that consent can be withdrawn. If an application contains sensitive personal data, it should be returned with a request to remove the sensitive data.

Personuppgiftsansvarig ska anmäla personuppgiftsincidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från upptäckt. Vissa personuppgiftsincidenter ska anmälas enligt brottsdatalagen, men det omfattar enbart incidenter som hos brottsbekämpande verksamheter så som:

*   Polismyndigheten
*   Tullverket
*   Ekobrottsmyndigheten
*   Skatteverket
*   Kustbevakningen
*   Åklagarmyndigheten

The data controller should report the personal data incident to the Data Protection Authority (IMY) within 72 hours of discovery. Some personal data incidents must be reported under the criminal data law, but this only applies to incidents at crime-fighting agencies such as:

• The Police Authority

• The Customs Service

• The Economic Crime Authority

• The Tax Agency

• The Coast Guard

• The Prosecutor's Office

Det är ägaren av en hemsida som bestämmer om och i så fall vilka insticksprogram den vill integrera på sin webbplats. Ägaren anses vara personuppgiftsansvarig eller gemensamt personuppgiftsansvarig för insamlingen och överföringen av informationen som insticksprogrammet samlar in och skickar över till den tredje parten det vill säga tjänsteleverantören av insticksprogrammet, till exempel Facebook.

It is the owner of a website who decides whether and if so, which plugins they want to integrate on their site. The owner is considered the data controller or jointly responsible for the collection and transfer of the information that the plugin collects and sends to the third party, i.e., the service provider of the plugin, such as Facebook.

Eftersom GDPR främst är tillämplig inom EU/EES finns det särskilda bestämmelser om vad som gäller när EU-medborgares personuppgifter behandlas i länder utanför EU/EES, alltså i ett tredje land. Skälet till detta är att man vill tillförsäkra EU-medborgare ett likvärdigt skydd för sina personuppgifter oavsett var de behandlas. Organisationer ska inte kunna kringgå lagen genom att hantera uppgifterna utanför EU.

Exempel på behandlingar av personuppgifter i tredje land inkluderar:

*   En svensk organisation vars IT-support sitter i Indien. De har tillgång till organisationens system och behandlar därmed personuppgifter i ett tredje land.
*   En svensk organisation som sammanställer information om sina ledande befattningshavare och distribuerar informationen till hela koncernen, även till dotterbolag utanför EU/EES.

Since the GDPR mainly applies within the EU/EEA, there are specific provisions for the treatment of EU citizens' personal data in countries outside the EU/EEA, i.e., in a third country. This is to ensure that EU citizens receive equivalent protection for their personal data regardless of where they are processed. Organizations should not be able to bypass the law by processing data outside the EU.

Examples of personal data processing in third countries include:

• A Swedish organization whose IT support is in India. They have access to the organization's systems and thus process personal data in a third country.

• A Swedish organization that compiles information about its top executives and distributes the information to the entire group, including subsidiaries outside the EU/EEA.

En personuppgift är alla uppgifter som kan användas för att identifiera en fysisk person. Vanliga exempel på personuppgifter är personnummer, adress, namn, kontonummer osv. Däremot kan även flera uppgifter i kombination, som var för sig inte räcker för att identifiera en individ, anses vara personuppgifter. Om man till exempel anger antal barn så är det i sig inte tillräckligt för att identifiera någon, men om man lägger till bostadsort och kön (sju barn, Gränna, man) så kan det räcka för att identifiera någon och därmed räknas dessa uppgifter som personuppgifter.

Personal data refers to any information that can be used to identify a physical person. Common examples include social security numbers, addresses, names, account numbers, etc. However, even a combination of pieces of information that, individually, would not suffice to identify a person, can be considered personal data. For instance, merely stating the number of children someone has might not be enough to identify someone, but if you add the place of residence and gender (e.g., seven children, Gränna, male), this could suffice for identification. Thus, these details count as personal data.

En personuppgiftsincident är en säkerhetsincident som leder till olaglig eller oavsiktlig förstöring, ändring, förlust eller till obehörigt röjande av eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats.

A data breach refers to a security incident leading to the unlawful or unintentional destruction, alteration, loss, unauthorized disclosure of, or unauthorized access to personal data that has been transferred, stored, or otherwise processed.

Enligt artikel 30 i GDPR är personuppgiftsansvariga samt personuppgiftsbiträden skyldiga att föra ett register över sina behandlingar av personuppgifter. Registret ska vara skriftligt, tillgänglig i ett elektroniskt format samt hållas uppdaterat. Registrets obligatoriska innehåll för personuppgiftsansvariga är följande:

*   Namn och kontaktuppgifter för den personuppgiftsansvariga, dennes företrädare samt dataskyddsombudet.
*   Ändamålen med behandlingen.
*   Beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
*   De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
*   Överföring av personuppgifter till ett tredjeland eller en internationell organisation, i tillämpliga fall.
*   Förutsedda tidsfrister för radering av de olika kategorierna av uppgifter, om möjligt.
*   Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder, om möjligt.

Registerförteckningen för personuppgiftsbiträden har inte lika omfattande innehållskrav som ovan utan avser enbart att informera om:

*   Namn och kontaktuppgifter för personuppgiftsbiträdet, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, för den personuppgiftsansvarigas och personuppgiftsbiträdets företrädare samt för personuppgiftsbiträdets dataskyddsombud.
*   Kategorier av behandling som utförts för varje personuppgiftsansvarigs räkning.
*   Överföring av personuppgifter till ett tredjeland eller en internationell organisation, i tillämpliga fall.
*   Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder, om möjligt.

According to Article 30 of the GDPR, data controllers and processors are obliged to maintain a record of their personal data processing activities. This record must be in written form, available electronically, and regularly updated. For data controllers, the mandatory content includes:

• Name and contact details of the controller, their representative, and the data protection officer.

• Purposes of processing.

• Description of categories of data subjects and personal data categories.

• Categories of recipients to whom the personal data has been or will be disclosed.

• Potential transfers of personal data to third countries or international organizations.

• Anticipated time frames for erasure of different data categories, if possible.

• A general description of technical and organizational security measures, if possible.

The content requirements for data processors' registries are not as extensive as above but only aim to provide information about:

• Name and contact details of the processor, each data controller on whose behalf the processor acts, and the representatives of both the controller and processor, and the processor's data protection officer.

• Categories of processing carried out for each data controller.

• Potential transfers of personal data to third countries or international organizations.

• A general description of technical and organizational security measures, if possible.

En personuppgiftsansvarig eller ett personuppgiftsbiträde måste i vissa fall beroende på dess organisation utse ett dataskyddsombud. Dataskyddsombudet har till uppgift att övervaka organisationens efterlevnad av förordningens krav. Dataskyddsombudet ska agera rådgivare och sakkunnig inom området och ska rapportera direkt till högsta ledningsnivå. Dataskyddsombudet agerar även kontaktperson gentemot både de registrerade och Integritetsskyddsmyndigheten som är tillsynsmyndighet.

Certain entities, based on their operations, are mandated to appoint a DPO. This officer's primary function is to oversee GDPR compliance within the organization. The DPO serves as an advisor, possesses subject matter expertise, and reports directly to the top management. Furthermore, the DPO acts as a liaison with both data subjects and the Swedish Data Protection Authority.

Ett personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Det kan till exempel vara en leverantör av en molntjänst eller en extern IT-supportfunktion.

A data processor processes personal data on behalf of the data controller. Examples include cloud service providers or external IT support functions.

En personuppgiftsincident kan vara ändring av personuppgifter utan tillstånd. Att obehörig part får tillgång till personuppgifterna, vilket kan ske genom att åtkomst till uppgifterna delas till fel mottagare eller att tekniska resurser, så som dator eller mobiltelefon med innehållande personuppgifter, stjäls eller förloras.

A personal data incident could be the modification of personal data without permission. Unauthorized parties gaining access to personal data, which can happen if access to the data is shared with the wrong recipient or if technical resources, such as a computer or mobile phone containing personal data, are stolen or lost.

Exempel på tjänster som kan anses falla in under ”övervakning” är:

*   Drift av ett telekommunikationsnätverk.
*   Tillhandahållande av telekommunikationstjänster.
*   Profilering och poängsättning i samband med riskbedömningar, exempelvis kreditbedömning och upprättande av försäkringspremier.
*   Platsspårning, exempelvis via mobilappar.
*   Lojalitetsprogram för kunder, exempelvis bonusklubb för förmåner kopplade till tidigare köp.
*   Beteendestyrd marknadsföring, exempelvis riktad annonsering utifrån användarens beteende i sociala medier.
*   Övervakning av hälsouppgifter via bärbara uppkopplade produkter, exempelvis pulsklockor.
*   Uppkopplade produkter, exempelvis smarta hem och smarta bilar.

Services construed as "monitoring" include telecommunication network operations, telecommunications services provision, risk assessment profiling, location tracking via apps, customer loyalty programs, targeted advertising based on user behavior on social media, health data monitoring via wearables, and connected devices like smart homes and vehicles.

Ett exempel på en incident som sannolikt kan innebära en hög risk för de registrerades rättigheter och friheter är om ett sjukhus tappar åtkomst till sina journaler innehållande viktig medicinsk information, vilket kan leda till att operationer måste avbokas och liv därmed riskeras. Vidare innebär det en hög risk om en bank upptäcker att obehöriga har fått tillgång till deras kunders konton.

An example of an incident that is likely to pose a high risk to the rights and freedoms of registrants is if a hospital loses access to its records containing vital medical information, which can lead to surgeries being canceled and lives at risk. Furthermore, it is a high risk if a bank discovers that unauthorized individuals have accessed their customers' accounts.

What should the information to the registrants in the event of a personal data incident contain?

The information to the registrant should be provided in a clear and simple language and give a clear and concise picture of the incident and information about:

• The name and contact details of the data protection officer or other contact points where more information can be obtained,

• A description of the likely consequences of the personal data incident; and

• A description of the measures that the data controller has taken or proposed to address the personal data incident, including, where appropriate, measures to mitigate its potential negative effects.

In addition, the registrant should receive information on how they can act to protect themselves.

Särskilda kategorier av personuppgifter är till sin natur särskilt känsliga och behandling av dessa kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Därför har uppgifterna fått ett extra skydd i lagstiftningen vilket innebär att de som huvudregel är förbjudna att behandla, men det finns vissa undantag. Särskilda kategorier av personuppgifter innefattar:

*   Ras eller etniskt ursprung
*   Politiska åsikter
*   Religiös eller filosofisk övertygelse
*   Medlemskap i fackförening
*   Genetiska och biometriska uppgifter
*   Hälsouppgifter
*   Sexualliv eller sexuell läggning

Personuppgifter som rör fällande domar i brottmål, uppgifter om lagöverträdelser, löneuppgifter och uppgifter om sociala förhållanden är exempel på personuppgifter som inte är känsliga personuppgifter enligt GDPR:s definition men ändå kan anses extra skyddsvärda.

Special categories of personal data are inherently sensitive, and their processing can entail significant risks to fundamental rights and freedoms. As a result, the law provides these categories of data with additional protection, making their processing generally prohibited, although there are exceptions. Special categories include:

• Race or ethnic origin

• Political opinions

• Religious or philosophical beliefs

• Trade union membership

• Genetic and biometric data

• Health information

• Sexual orientation or sex life

Data related to criminal convictions, information on legal infringements, salary information, and social circumstances are examples of personal data that, while not sensitive according to GDPR definitions, might still be considered particularly worthy of protection.

En anmälan syftar till att göra det möjligt för Integritetsskyddsmyndigheten att se och bevaka vilka åtgärder som vidtas för att motverka negativa effekter av det inträffade. Om det blir nödvändigt kan Integritetsskyddsmyndigheten också komma att utöva sina tillsynsbefogenheter för att få den som är ansvarig för behandlingen att vidta nödvändiga åtgärder.

The purpose of the report is to enable the Data Protection Authority to monitor and see what measures are taken to counteract the negative effects of the incident. If necessary, the Data Protection Authority may also exercise its supervisory powers to get the party responsible for processing to take the necessary measures.

Överföring av uppgifter till ett tredje land är även möjlig i vissa fall trots att landet inte uppfyller adekvat skyddsnivå eller att inga lämpliga skyddsåtgärder har vidtagits om överföringen omfattas av något av undantagen i artikel 49 i GDPR. Exempel på dessa situationer är:

*   Den registrerade har gett sitt samtycke efter att ha blivit informerad om riskerna det kan innebära,
*   Överföringen är nödvändig för att fullgöra ett avtal med den registrerade, eller
*   Överföringen är nödvändig för att skydda den registrerades grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, exempelvis om en person blir allvarligt sjuk utomlands och personens hälsoinformation måste överföras för att ge rätt vård.

Transfers to a third country are also possible in certain cases, even if the country does not meet the adequate level of protection or no appropriate safeguards have been taken. Examples of these situations include:

• The data subject has given consent after being informed of potential risks.

• The transfer is necessary to fulfill a contract with the data subject.

• The transfer is essential to protect the data subject's vital interests, especially when they are physically or legally unable to give consent.

Det är vanligt att kreditgivare gör kreditbedömningar av sina kunder med stöd av uppgifter som inhämtas från kreditupplysningsföretag. Uppgifter som inhämtas från ett kreditupplysningsregister är inte att anse som relevanta att använda vid en kreditprövning om uppgifterna är äldre än tre månader och skall således gallras senast efter tre månader.

Credit providers often assess their customers based on information from credit reporting agencies. Data from a credit reporting register older than three months should be deleted within that period.

Alla myndigheter och offentliga organ måste utse ett dataskyddsombud. Detta gäller oavsett vilken typ av uppgifter som behandlas, eller i vilken omfattning. Även verksamheter som regleras av offentlig rätt omfattas av kravet, exempelvis hel- eller majoritetsägda kommunala bolag.

Ett dataskyddsombud kan utses för flera myndigheter. I en kommun anses vanligtvis varje nämnd vara personuppgiftsansvarig för sitt område och ska därför utse ett dataskyddsombud. Samma ombud kan utses för samtliga nämnder inom kommunen förutsatt att personen i fråga har tillräckligt med tid och resurser att utföra sitt uppdrag.

Organisationer som inte är myndigheter eller offentliga organ men som utför en offentlig förvaltningsuppgift, exempelvis friskolor, har inget krav på sig att utse ett dataskyddsombud. Däremot rekommenderas sådana organisationer att utse ett dataskyddsombud då de registrerade kan anses befinna sig i en liknande position gentemot dessa som gentemot myndigheter.

All public authorities and bodies must appoint a DPO, regardless of the data type or volume processed. This also applies to entities governed by public law, such as municipally owned enterprises. A single DPO can represent multiple bodies within a municipality, provided they have sufficient time and resources. Organizations not classified as public bodies or authorities, like charter schools, are not mandated to appoint a DPO. However, they are advised to do so due to the perceived relationship with data subjects.

I Schrems II-målet slog EU-domstolen fast att Privacy Shield-avtalet mellan EU och USA inte gav ett tillräckligt skydd för personuppgifter när dessa förs över till USA och att det därmed upphört att gälla. Det innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Vid eventuellt behov att överföra uppgifter till USA måste en annan juridisk lösning än Privacy Shield hittas. Domstolen ansåg däremot att EU-kommissionens beslut om standardavtalsklausuler ska fortsätta att vara giltigt och att sådana klausuler kan användas vid överföring till länder utanför EU och EES men att det i samband med användandet av dem kan behövas ytterligare skyddsåtgärder.

Under våren 2023 beslutade EU-kommissionen att dataflöden till USA återigen anses vara lagliga utan extra säkerhetsåtgärder. Det nya adekvansbeslutet som baseras på EU-US Data Privacy Framework (DPF) ersätter tidigare Privacy Shield-avtalet vilket innebär att det enligt GDPR är möjligt att föra över personuppgifter till USA från EU/EES utan krav på ytterligare garantier genom avtalsklausuler eller liknande.

In the Schrems II case, the EU Court of Justice ruled that the Privacy Shield agreement between the EU and the USA did not offer sufficient protection for personal data transferred to the USA and was thus invalidated. As a result, it was no longer permitted for data controllers in the EU to transfer personal data to recipients in the USA based on the Privacy Shield. However, during the spring of 2023, the EU Commission decided that data flows to the USA are once again considered legal without extra safeguards. This new adequacy decision based on the EU-US Data Privacy Framework (DPF) replaces the previous Privacy Shield agreement.

Enligt OSL 21 kap 7 § föreligger sekretess för personuppgifter om det kan antas att uppgifterna kommer behandlas i strid med dataskyddsförordningen med kompletterande bestämmelser samt 6 § lagen (2003:460) om etikprövning av forskning som avser människor efter utlämnande av personuppgifterna. För att avgöra om personuppgiftssekretess föreligger behöver man i de flesta fall veta vem sökanden är och vad uppgifterna kan komma att användas för. Samtidigt finns ett förbud mot att efterforska vem sökanden är och vad personen planerar att använda de begärda handlingarna till. Som offentlig verksamhet får man ställa frågor, och således bryta mot förbudet, om vissa omständigheter föreligger, antingen vid massuttag eller vid selekterade uppgifter om få individer.

According to OSL Chapter 21, Section 7, confidentiality applies to personal data if it can be assumed that the data will be processed in violation of the Data Protection Regulation with supplementary provisions and Section 6 of the Act (2003:460) on ethical review of research relating to humans after the personal data is disclosed. To determine if personal data confidentiality applies, in most cases, it is necessary to know who the applicant is and what the data may be used for. At the same time, there is a prohibition against investigating who the applicant is and what the person plans to use the requested documents for. As a public entity, you may ask questions, and thus violate the prohibition, if certain circumstances exist, either in mass extracts or in selected data on a few individuals.

Det krävs ett giltigt samtycke från besökaren innan analytiska kakor aktiveras på er hemsida. Praktiskt innebär det att besökaren behöver landa på en sida som inte automatiskt aktiverar några analytiska kakor innan besökaren har samtyckt till det. Samtycket ska ske genom en aktiv handling och några förkryssade rutor för samtycke får inte förekomma för att samtycket ska vara giltigt.

Valid consent from the visitor is required before analytical cookies are activated on your website. In practice, this means that the visitor must land on a page that does not automatically activate any analytical cookies before the visitor has consented. The consent must be given by an active action, and pre-checked boxes for consent are not allowed for the consent to be valid.

[EU-domstolen](https://curia.europa.eu/juris/document/document.jsf;jsessionid=BAA1307F48931D8EBCC69D4AB37472DF?text=&docid=216555&pageIndex=0&doclang=SV&mode=lst&dir=&occ=first&part=1&cid=10134) har konstaterat att webbplatsoperatör som använder insticksprogram från en tredje part, till exempel Facebook (Gilla-knapp), ska dels informera om behandlingen och dels begära samtycke innan information om besökaren från insticksprogrammet skickas till den tredje parten.

The EU Court has ruled that a website operator using third-party plugins, such as a Facebook Like button, must both inform about the processing and request consent before information about the visitor from the plugin is sent to the third party.n.

De kakor som webbplatsen behöver för att den ska kunna fungera kallas nödvändiga kakor och omfattas inte av kravet på samtycke; det räcker att ni informerar om vilka nödvändiga kakor ni använder enligt nedan.

Informationen om kakorna ska vara tydlig och omfatta följande:

*   vilka kakor som används av webbplatsen,
*   ändamålet för respektive kaka,
*   identiteten på eventuella tredje parter som omfattas av behandlingen,
*   hur länge kakorna behandlar personuppgifter, samt
*   information om identiteten på den personuppgiftsansvarige.

The cookies that the website needs in order to function are called necessary cookies and are not covered by the consent requirement; it is enough if you inform about which necessary cookies you use as below.

The cookie information should be clear and cover the following:

• which cookies are used by the website,

• the purpose of each cookie,

• the identity of any third parties involved in the processing,

• how long the cookies process personal data, and

• information on the identity of the data controller.

Enligt GDPR får varje medlemsstat föreskriva särskilda villkor för behandling av personnummer, då denna typ av personuppgift har en integritetskänslig karaktär som gjort att den fått extra skydd. I Sverige får organisationer, myndigheter och andra i huvudregel enbart behandla personnummer om samtycke inhämtats. Det finns däremot undantag till denna huvudregel, vilket innebär att personnummer får behandlas utan samtycke när det är klart motiverat med hänsyn till vikten av en säker identifiering, ändamålet med behandlingen eller något annat beaktansvärt skäl. Behandling av personnummer ska alltid följa övriga regler i GDPR.

Under the GDPR, each member state may stipulate specific conditions for processing social security numbers due to their sensitive nature that warrants extra protection. In Sweden, organizations and agencies are generally only allowed to process social security numbers if consent has been obtained. Exceptions exist, allowing for the processing of social security numbers without consent when clearly justified by the need for secure identification, the purpose of processing, or other considerable reasons. The processing of social security numbers must also adhere to other GDPR regulations.

När du hanterar dina kunders kundregister i samband med exempel reklamutskick kan du bli personuppgiftsbiträde till din kund vilket medför ett visst ansvar för personuppgiftbehandlingen. Dataskyddsförordningen ställer också krav på ett skriftligt biträdesavtal med kunden.

When you handle your customers' customer records in connection with, for example, advertising mailings, you may become a data processor for your customer, which entails certain responsibilities for data processing. The Data Protection Regulation also requires a written processor agreement with the customer.

Vid marknadsföring som riktar sig till barn krävs extra försiktighet vid hantering av personuppgifter. Det ställs högre krav på tydlig information om hur personuppgifterna behandlas. Barn anses i dataskyddsförordningen, precis som i annan lagstiftning, som extra skyddsvärda.

Extra caution is required when handling personal data in marketing targeting children. Clearer information is required on how the personal data is processed. Children are considered in the Data Protection Regulation, as in other legislation, as particularly vulnerable.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran ska den personuppgiftsansvarige inom en månad informera om det och om orsaken till varför åtgärder inte har vidtagits. Den registrerade ska informeras om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

Should the Data Controller take no action regarding the Data Subject's request, they must within a month inform the Data Subject of the inaction and the reason behind it. The Data Subject should also be made aware of their right to lodge a complaint with the supervisory authority and to seek judicial remedy.

Om kraven i GDPR inte uppfylls eller efterlevs kan tillsyn av IMY bli aktuellt. IMY har följande korrigerande befogenheter:

Varningar

*   IMY kan utfärda skriftlig varning om behandling kan komma att bryta mot GDPR eller kompletterande författningar. Varning kan därmed endast utfärdas innan någon överträdelse har ägt rum.
*   Kan kombineras med andra korrigerade åtgärder men är enskilt inte bindande och kan därmed inte leda till något överklagbart beslut.

Reprimander

*   När en organisation brutit mot GDPR eller kompletterande regler kan IMY utfärda en reprimand.
*   Enbart aktuella vid mindre överträdelse.

Föreläggande, begräsning och förbud

*   IMY förelägger personuppgiftsansvarige att vidta olika åtgärder.
*   Tillfälligt eller definitivt införa en begränsning av eller ett förbud mot behandling, vilket innebär att den måste upphöra.

Administrativa sanktionsavgifter

*   IMY kan utöver eller istället för övriga korrigerande åtgärder besluta om att ta ut en sanktionsavgift.
*   Nästan alla överträdelse kan leda till administrativa sanktionsavgifter.
*   För myndigheter: Högsta maxbeloppet 10 miljoner kronor och vid mindre allvarliga överträdelse är maxbeloppet 5 miljoner kronor.
*   För organisationer (ej myndighet): Högsta maxbeloppet 20 miljoner euro, eller för bolag fyra procent av den globala omsättningen beroende på vilket belopp som är högst.  Vid mindre allvarliga överträdelse är maxbeloppet 10 miljoner euro eller för bolag två procent av den globala årsomsättningen, beroende på vilket belopp som är högst.

Vid bedömning av summan för administrativ sanktionsavgift tas följande i beaktning gällande överträdelsen:

*   oaktsam eller avsiktlig
*   hur lång tid överträdelsen har pågått
*   hur många som har drabbats
*   hur stor skadan är
*   vad man gjort för att begränsa skadorna

Hur hög sanktionsavgiften blir beror alltså på vilken bestämmelse överträdelsen gäller, vem som har begått överträdelsen och omständigheterna i det enskilda fallet.

Infringements of GDPR provisions could invoke scrutiny by IMY, which wields the following corrective powers:

• Issuance of written warnings for potential infringements.

• Reprimands for minor violations.

• Orders to adopt specific measures, including processing limitations or prohibitions.

• Administrative fines, contingent upon the nature and severity of the violation. The quantum of fines is subject to various considerations, including intent, duration, and scale of infringement.

EU-kommissionen har upprättat en lista över länder som anses ha adekvat skyddsnivå. Till dessa länder kan man överföra uppgifter utan att vidta några särskilda åtgärder. Länderna kan endast godkännas av EU-kommissionen som vid sin bedömning tar hänsyn till landets lagar och internationella åtaganden, möjligheterna för den registrerade att få rättslig prövning samt respekten för de mänskliga rättigheterna och de grundläggande friheterna.

[Här](https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/overforing-till-tredje-land/adekvat-skyddsniva/) kan du ta del av de länder som i dagsläget anses uppfylla en adekvat skyddsnivå.

The EU Commission has established a list of countries deemed to have an adequate level of protection. Personal data can be transferred to these countries without implementing any specific measures. The Commission evaluates countries based on their laws and international commitments, the opportunities for data subjects to seek legal remedies, and respect for human rights and fundamental freedoms.

[Here you can see which countries currently meet the criteria for an adequate level of protection.](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en)

Allmänt intresse och myndighetsutövning som laglig grund används främst av myndigheter samt organisationer inom skola och vård. Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse, såsom hälso- och sjukvårdstjänster, folkhälsa, socialt skydd och säkerhet. Vidare är det även tillåtet som ett led i myndighetsutövning. Däremot krävs det att myndigheterna i sin myndighetsutövning har stöd i den svenska lagstiftningen. Det räcker alltså inte att behandlingen är godkänd enligt denna punkt i GDPR utan specifikt lagstöd måste även finnas i nationell rätt eller EU-rätt.

Den registrerade har däremot rätt till att invända mot behandlingen, och då måste ni som personuppgiftsansvarig påvisa avgörande berättigade skäl om vems intresse som väger tyngst.

These bases are primarily used by government agencies and organizations active within education and healthcare. Personal data processing is permitted if it's necessary for public interest tasks, such as healthcare or public safety. However, the processing must also have a legal foundation in national or EU law. Data subjects retain the right to object, requiring the data controller to demonstrate compelling legitimate reasons.

Personuppgifter får endast samlas in för särskilt, uttryckligt angivna och berättigade ändamål. Ändamålen för behandlingen ska vara specifika och konkreta samt ha en rättslig grund i GDPR och ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper. Behandling av personuppgifter måste vara förenligt med ändamålet som angavs vid insamlingen av uppgifterna, och om behandlingen inte är förenlig med ursprungligt ändamål är det fråga om en helt ny personuppgiftsbehandling.

Personal data can only be collected for specific, expressly stated, and legitimate purposes. The purposes of processing should be precise and concrete and must have a legal basis in the GDPR. Furthermore, they should comply with other applicable legislation and general legal principles. Data processing must align with the purpose stated at the time of collection. If processing diverges from the original intent, it is considered a new data processing activity.

Vid personuppgiftsbehandling är det upp till den som behandlar uppgifterna att följa de grundläggande principerna och kunna visa att dessa efterlevs. Att de grundläggande principerna efterlevs kan visas på flera sätt, exempelvis genom att lämna tydlig information till de registrerade, föra register över all pågående personuppgiftsbehandling och upprätta en dataskyddspolicy.

When processing personal data, the onus is on the data processor to abide by fundamental principles and demonstrate compliance. Adherence to these principles can be evidenced in various ways, such as by providing clear information to data subjects, maintaining a record of ongoing data processing activities, and implementing a data protection policy.

Avtal som rättslig grund kan bli aktuellt att använda när den registrerade har eller ska ingå ett avtal med exempelvis den personuppgiftsansvarige. Personuppgiftsbehandlingen måste vara nödvändig för att fullgöra avtalet med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan avtalet ingåtts. Exempelvis kan avtal utgöra laglig grund för behandling av personuppgifter när:

*   Den registrerade har köpt en produkt som ska levereras och faktureras och därmed har organisationen rätt att behandla den registrerades personuppgifter för att fullgöra sina förpliktelse i enlighet med avtalet.
*   Arbetsgivaren får behandla personuppgifter om en anställd för att uppfylla anställningsavtalet, exempelvis lönebräkning och registrering av sjukfrånvaro.

När behandlingen grundar sig på ett avtal kan den registrerade inte begära att bli glömd/raderad från exempelvis faktureringssystemet då dessa krävs för att avtalet ska kunna fullgöras.

The "contract" legal basis is relevant when a data subject has or is about to enter a contract with, for instance, the data controller. The processing of personal data must be essential to fulfill the contract or take preliminary steps at the request of the data subject. For instance:

• When a product is purchased for delivery and invoicing, the organization can process the buyer's data to meet contractual obligations.

• Employers can process employees' data, like salary calculations and sick leave records, under the employment contract.

When relying on a contract as a legal basis, the data subject cannot demand erasure from systems necessary for contractual fulfillment.

Dataskyddsförordningen har ett antal grundläggande principer som genomsyrar förordningen och gäller för all personuppgiftsbehandling.

The Data Protection Regulation encompasses several fundamental principles that permeate the regulation and apply to all personal data processing.

News and articles

IMY is granted increased funding to strengthen its work on data protection

The Administrative Court's decision: The delineation between constitutional protection and GDPR sparks debate and impacts companies' ability to conduct background checks

The AI regulation will soon come into effect

IMY begins supervision of Vklass after about 60 reports

Data protection and data security should be considered during due diligence

PTS is starting a review of compliance with cookie-rules

Swedish Supervisory Authority initiates review of Nobina’s monitoring of bus drivers

Swedish Supervisory Authority issues reprimand and order to Verifiera

Court of Appeals upholds the decision of the Swedish Supervisory Authority

IMY issues an administrative fine against Region Dalarna

IMY initiates a supervision of Region Uppsala

Italian supervisory authority prohibits use of Google Analytics