Meny

Sök

Listor
0

Varukorg

Lösningarna

Så här gör du

Kunskapsbanken

Bli inspirerad och smart

Kampanjer

Våra unika erbjudanden
Personlig<br/>service

Personlig
service
Fri rådgivning<br/>och support

Fri rådgivning
och support
Genuin<br/>omtanke

Genuin
omtanke

Dataskydd

Personuppgiftshantering under GDPR

Vi strävar efter att begränsa insamling av personuppgifter till det absolut nödvändiga för att erbjuda utmärkt service till våra kunder, partners och besökare.

Centrala Begrepp

GDPR är tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk (dvs. elektronisk) väg samt på icke automatisk behandling av personuppgifter som ingår i eller kommer att ingå i ett (manuellt) register.

 - Personuppgifter är i korthet alla uppgifter som kan härledas till en (levande) person, t.ex. namn, epost, adress, IP-nummer, hälsouppgifter, eller en kombination av uppgifter som innebär att en person kan identifieras.

 - Med ”behandling” avses alla åtgärder som vidtas beträffande personuppgifter, t.ex. insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Grundläggande krav på personuppgiftsbehandling

GDPR innehåller vissa grundläggande krav på all personuppgiftsbehandling. Dessa krav utgör grunden för all personuppgiftsbehandling.

(a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

(b) Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

(c) Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

(d) Uppgifterna ska vara korrekta och om nödvändigt uppdaterade.

(e) Uppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas, dvs. uppgifterna måste gallras efter viss tid.

(f) Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder.

Ändamål och laglig grund

Ändamål

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Endast den information som behövs för att tillgodose ändamålet med insamlingen ska behandlas. Det är det personuppgiftsansvariga bolaget som ansvarar för att definiera ändamålen, att ändamålen är berättigade, och att behandlingen endast sker i enlighet med dessa.

Laglig grund

Vidare måste det finnas en laglig grund för personuppgiftsbehandlingen. I GDPR anges vad som kan utgöra laglig grund. De vanligaste lagliga grunderna är i korthet:

a) att behandlingen är nödvändig för att fullgöra ett avtal,

b) att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse,

c) att samtycke finns från den registrerade,

d) att behandlingen är tillåten med stöd av en intresseavvägning, vilket innebär att den personuppgiftsansvariga har ett berättigat intresse av behandlingen, som väger tyngre än den registrerades integritetsintresse.

När det gäller ”känsliga uppgifter” (i GDPR kallas dessa för ”särskilda kategorier av uppgifter”) så finns det särskilda regler som anger när dessa får behandlas. Känsliga uppgifter är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, biometriska uppgifter (t.ex. fingeravtryck), medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Direktronik lagrar inga känsliga uppgifter.

Informationsskyldighet

Den personuppgiftsansvarige ska självmant tillhandahålla viss information till de personer vars personuppgifter behandlas, i samband med att dessa samlas in. Informationen ska tillhandahållas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska regelmässigt tillhandahållas skriftligt. Informationen ska tillhandahållas kostnadsfritt. GDPR innehåller specifika krav på vilken information som ska tillhandahållas.

Överföring av personuppgifter till annan part

Mailchimp, Lizoft AB Authority AB, Liveagent, Postnord och Unifaun, behandlar personuppgifter på uppdrag av Direktronik och är därmed att betrakta som personuppgiftsbiträden till Direktronik.

Lagringsplats och överföring till tredjeland

Direktronik lagrar de personuppgifter på servrar är placerade i Sverige. Vidare lagras uppgifter på servrar som handhas Livagent, Hogia och Mailchimp. Mailchimp har sina i USA. Mailchimp tillhandahåller en plattform för mejlutskick och som har en server i USA. Mailchimp är, enligt egen utsago, Privacy Shield-certifierade.

Gallring

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Det betyder att alla personuppgifter måste gallras, dvs. avidentifieras eller förstöras, när de inte längre behövs eller har blivit ovidkommande i förhållande till ändamålet.

Den registrerades rättigheter

Inledning

De registrerade har vissa rättigheter som Direktronik är skyldigt att tillmötesgå, t.ex. begäran om registerutdrag och rättelse av personuppgifter.

Registerutdrag

Innehålla följande uppgifter.

a) Ändamålen med behandlingen.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d) Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e) Förekomsten av rätten att av Direktronik begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f) Rätten att inge klagomål till en tillsynsmyndighet.

g) Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

h) Förekomsten av automatiserat beslutsfattande, inbegripet profilering, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

i) Om personuppgifterna överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som har vidtagits vid överföringen.

Länk till formulär för att begära registerutdrag

Dataportabilitet – tillämpligt utan avtal

Registrerade har rätt att få tillgång till vissa personuppgifter i ett ”strukturerat, allmänt använt och maskinläsbart format”. Rätten till dataportabilitet gäller endast när personuppgiftsbehandlingen grundas på den registrerades samtycke eller på ett avtal där den registrerade är part. Vidare krävs att behandlingen är automatiserad.

Rättelse

Direktronik ska på den registrerades begäran rätta felaktiga personuppgifter som rör den registrerade, samt komplettera ofullständiga personuppgifter baserat på den registrerades eventuella kompletterande utlåtande.

Radering - ”rätten att bli bortglömd”

Den registrerade har rätt att få sina personuppgifter raderade i följande fall.

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig, och det inte finns någon annan rättslig grund för behandlingen.

c) Den registrerade invänder mot behandling som grundar sig på en intresseavvägning, och det saknas tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades integritetsintresse.

d) Den registrerade invänder mot behandling av dess personuppgifter för direktmarknadsföring.

e) Personuppgifterna har behandlats på olagligt sätt.

f) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse enligt tillämplig lag som Direktronik omfattas av.

g) I vissa fall avseende barns personuppgifter.

Undantag: Det finns vissa undantag till rätten till radering. Undantag gäller om behandlingen är nödvändig av olika skäl. T ex om behandlingen är nödvändig för att Direktronik ska kunna (i) uppfylla en rättslig förpliktelse som kräver behandling enligt tillämplig lag, eller (ii) för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Begränsning

Den registrerade har rätt att kräva att behandlingen av dennes personuppgifter begränsas i vissa fall, t.ex. om den registrerade bestrider personuppgifternas korrekthet, under en tid som ger Direktronik möjlighet att kontrollera om personuppgifterna är korrekta, eller om behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

Invändningar, bl.a. mot direktmarknadsföring

Den registrerade har, under vissa förutsättningar, rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne. Denna rätt innefattar bland annat rätten att när som helst invända mot behandling av personuppgifter för direktmarknadsföring.

Profilering

Den registrerade har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, vilket har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

Läs mer om vårt dataskydd i menyn