GDPR Learning Hub

Menu
  • Kurser
  • Kunskap
  • Checklistor
  • Quiz
  • Mallar
  • Databas
  • Hemsidan är under konstruktion

GDPR - Näringsliv

Mer om Personuppgifter inom näringslivet


Behandling av personuppgifter inom näringslivet är vanligt förekommande. Dessutom har data, som ofta utgörs av personuppgifter, blivit allt viktigare för företag att behandla. Exempelvis sker behandling av personuppgifter inom näringslivet för att kunna vidareutveckla produkter eller anpassa marknadsföring. 

Behandling av personuppgifter inom skolor

Skolor behandlar personuppgifter i sin verksamhet, oavsett om det är en offentlig eller privat verksamhet. Dessutom har många skolor elever som är barn, vilket innebär striktare regler enligt GDPR eftersom barn är en extra skyddsvärd grupp. Vissa personuppgifter som behandlas inom skolverksamheten har också en subjektiv karaktär, vilket ofta är känsligare än sådana med objektiv karaktär. Ett exempel personuppgifter med subjektiv karaktär är elevernas betyg. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Det är inte lärarna som ansvarar för korrekt behandling av personuppgifter

Det är skolan i sig, alltså den personuppgiftsansvarige, som ansvarar för att behandlingen av personuppgifterna sker i enlighet med GDPR och andra tillämpliga lagar och regler. Däremot behandlar lärarna personuppgifter i sitt arbete. Därför är det viktigt att skolan tillhandahåller relevant information och utbildning, så att de genomför behandlingarna i enlighet med GDPR. Om en lärare bryter mot GDPR vid sin personuppgiftsbehandling, är det skolan som kan hållas ansvarig för den bristande efterlevnaden samt eventuella konsekvenser därav. 

Föreningar som behandlar personuppgifter

Föreningar som omfattas av GDPR och behandlar personuppgifter, såsom att föra ett medlemsregister innehållande medlemmarnas uppgifter, måste följa reglerna i förordningen. Detta gäller oavsett om det är en mindre eller större förening. 

Medlemskap i fackförening utgör en känslig personuppgift

Det är viktigt att tänka på att information om en individs medlemskap i en fackförening utgör en känslig personuppgift enligt artikel 9 i GDPR. Därför är det viktigt att komma ihåg att följa de striktare reglerna om föreningen är en fackförening. Enligt huvudregeln i artikel 9 i GDPR är det till och med förbjudet att behandla känsliga personuppgifter överhuvudtaget, men det finns några undantag. 

Periodic penalty payments

Medlemsundantaget

Även fast det enligt huvudregeln är förbjudet att behandla känsliga personuppgifter, såsom information om en individs religiösa övertygelse, politiska åsikter eller medlemskap i fackförening, kan det vara tillåtet. Om själva medlemskapet i en politisk förening, religiös förening eller fackförening avslöjar en känslig personuppgift, är det tillåtet förutsatt att föreningen följer de övriga reglerna och förutsättningarna.

Behandla personuppgifter för forskningsändamål

Det är inte ovanligt att behandla personuppgifter för forskningsändamål och det finns särskilda regler i GDPR vid sådana behandlingar. Bland annat måste aktören som behandlar personuppgifter för forskningsändamål vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till exempel genom pseudonymisering av personuppgifterna. Dessutom är det skillnad mellan att behandla personuppgifter för vetenskapliga forskningsändamål respektive historiska forskningsändamål. 

Vanligt med gemensamt personuppgiftsansvar

Institutioner som utför forskning brukar samarbeta med andra institutioner. Dessutom brukar de i vissa fall utföra forskningsprojekt tillsammans. Därför är det viktigt att vid sådana fall reda ut förhållandet mellan parterna och ansvaret gällande persouppgiftsbehandlingarna. Det är bland annat bra att reda ut följande frågeställningar:

  • Är båda institutionerna gemensamt personuppgiftsansvariga, eller är respektive institution självständigt personuppgiftsansvariga?
  • Kan det föreligga en personuppgiftsbiträdesrelation mellan institutionerna som samarbetar inom forskningen ifråga?

Personuppgiftsbehandling för statistiska ändamål

Företag kan ha ett behov av att behandla personuppgifter för statistiska ändamål. Ofta sker sådan behandling i aggregerat format.Aggregerade personuppgifter innebär att de inte längre kan kopplas till en enskild individ, och därmed är sådana uppgifter inte längre klassade som personuppgifter.

Definitionen av statistiska ändamål i GDPR

Statistiska ändamål innebär enligt GDPR att ett företag behandlar personuppgifter som är nödvändiga för att framställa statistiska resultat. Detsamma gäller för statistiska undersökningar. Enligt skäl 162 i GDPR innebär ett statistiskt ändamål att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, samt att resultatet inte kommer att användas som stöd för beslut eller åtgärder avseende en specifik individ.

Dataskyddsförordningen

Olika roller som företag kan ha enligt GDPR

Ett företag som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Det är den personuppgiftsansvarige som bestämmer medel och ändamål med behandlingen. Ett personuppgiftsbiträde behandlar personuppgifterna för den personuppgiftsansvariges räkning och enligt dennes instruktioner. Till exempel om ett företag (personuppgiftsansvarige) anlitar en redovisningsbyrå (personuppgiftsbiträde) för att sköta lönehanteringen. Dessutom kan vissa företag behöva utse ett dataskyddsombud. 

Vill du lära dig mer?

Klicka här
Rulla till toppen