GDPR Flashcards
1
Q
Vad står GDPR för?
A
General Data Protection Regulation
2
Q
Vilka organisationer påverkas av GDPR?
A
- etablerade i EU
- erbjuder varor eller tjänster till fysiska personer inom EU
- övervaka fysiska personers beteende i EU
3
Q
När antogs GDPR och sedan vilket år gäller den?
A
antogs 2016, gäller sedan 2018
4
Q
Vilka är grunderna i GDPR?
A
- registrerad behandling
- PU ansvarig
- PU biträde
- dataskyddsombud
- tillsynsmyndighet
5
Q
Vad är en personuppgift (PU)?
A
- info som kan hänvisas till en fysisk person, direkt/indirekt
- t.ex. namn, adress, e-mail, ip-nummer, foto
6
Q
Vilka är de särskilda kategorier av PU?
A
- etnicitet
- politiska åsikter
- medlem i fackförening
- sexuell läggning & sexualliv
- trosuppfattning, fil. övertygelse
- hälsa
- biometrisk data
- genetisk data
7
Q
Varför finns GDPR?
A
- samma regler över hela EU
- stärka den personliga integriteten
- individers rätt till sin egen information
- fritt flöde av PU i hela EU
- anpassa till teknikutvecklingen (social media, molnet, mm.)
8
Q
När gäller GDPR?
A
automatisk behandl. av PU eller där PU ingår i ett register (eller kommer att ingå)
9
Q
Vilka är de administrativa sanktionsavgifter?
A
4 % av global årsomsättning eller 20 mio € (det högre)
2 % av global årsomsättning eller 10 mio € (det högre)
10
Q
hur ser processen ut som kan leda till böter?
A
varning->reprimand->indragen rätt till behandling av PU->böter
11
Q
Vilka är de vanligaste anledningar till böter?
A
- insufficient legal basis
- insufficient technical & organisational measures for information security
- non-compliance with general dataprocessing principals
12
Q
Vilka är principerna för behandling av PU? (art.5)?
Hur ska PU behandlas?
A
- laglig, korrekt, öppen
- ändamålsenligt
- uppgiftsminimerad
- korrekt
- lagringsminimerad (tid)
- integritet&konfidentiell
- ansvarsskyldig
13
Q
Vilka är de lagliga grunder för behandling av PU (art.6)?
A
- samtycke
- avtal
- rättslig förpliktelse
- skydd för grundläggande intressen (t.ex. liv)
- myndigehtsutövning/allmänt intresse
- intresseavvägning (berättigat intresse)
14
Q
Vilka är villkoren för samtycke (art.7)?
A
- ska visa att den registrerade har samtyckt till behandlingen
- klart & tydligt samtycke
- särskiljad från andra frågor
- ska vara lika lätt att dra tillbaka samtycket
15
Q
Vad gäller vid behandling av särskilda kategorier av PU (art.9)?
A
- generellt sett förbjudet
- samtycke
- fullgöra rättsliga skyldigheter
- får inte stå i beroendeställning
16
Q
På vilket sätt ska villkoren & kommunikationen av den registrerades rättigheter vara tydliga (art.12)?
A
- hur behandlingen kommer att ske
- klart & tydligt språk
- kort & koncist
- mottagaren ska förstå
- helst elektronisk form
- senast en månad eter förfrågan ska information lämnas ut
17
Q
Vilken info ska tillhandahållas om PU har inhämtats från den registrerade (art.13)?
A
- identitet & kontaktuppgifter på PU-ansvarig
- ev. kontaktuppgifter på dataskyddsombud
- ändamålet med behandlingen samt rättslig grund
- mottagare som ska ta del av PU
- ev. överföring utanför EU
- hur länge PU lagras
- rättigheterna: tillgång, rättelse, radering, begränsning av behandling, dataportabilitet
- återkalla samtycke
- rätten att klaga
- tillhandahållandet är lagstadgat, avtalsenligt eller för att kunna ingå ett avtal
- ev. automatiskt beslutsfattande eller profilering
18
Q
Vilken info ska tillhandahållas om PU inte inhämtats från den registrerade (art.14)?
A
- kategorier av PU behandlingen gäller
- källan till PU
- senast 1 månad efter insamling av PU
- vid kommunikation, senast 1. kontakten
19
Q
Vilken rätt har den registrerade till tillgång (art.15)?
A
- rätt att veta om en PU behandlas (vilka PU & för vilka ändamål)
- ska vara gratis (i de flesta fall)
- främst elektronisk form
20
Q
Vilken rätt har den registrerade till rättelse (art.16)?
A
- ska ha rätt att få sina PU rättade
- ska ske inom 1 månad
21
Q
Viken rätt har den registrerade till radering (art.17)?
A
- PU är inte längre nödvändiga
- återkalla samtycke - ingen annan rättslig grund för behandling
- PU har inhämtats olaglig
- gäller inte då: -rätten att uttrycka sig och -arkivering inom offentliga, forskning eller statistiska ärenden
22
Q
När kan individen begränsar behandling av PU (art.18)?
A
- bestrider PUs korrekthet
- behandling är olaglig
- PU behövs ej längre
- invändning mot behandling enl. art.21
- får fortsätta lagras
23
Q
Vilken anmälningsskyldighet finns det vid rättelse/radering/begränsad behandling av PU (art.19)?
A
- till alla mottagare som PU lämnats ut till
- vid -rättelser, -radering, -begränsningar av behandling
24
Q
När gäller rätt till dataportabilitet (art.20)?
A
- överföra PU till en annan PU-ansvarig
- ->om behandlingen grundar sig på samtycke eller avtal
- ->sker automatisk
25
När gäller rätten att göra invändningar (art.21)?
- när behandling sker vid:
- ->intresseavvägning eller vid allmänt intresse
- ->direkt marknadsföring
- ->vetenskapliga eller historiska forskningsändamål
26
Vad gäller vid automatisk beslutsfattande & profilering (art.22)?
- rätt att inte bli utsatt för atom. beslutsfattande eller profilering
- har rätt till mänsklig kontakt för att -uttrycka sig och -få förklarat beslutet/profileringen
- dock tillåtet vid: ->avtal, ->samtycke, ->rättslig skyldighet
27
Vad gäller vid internationella överföringar utanför EU (art.44-49)?
- beslut om adekvat skyddsnivå (t.ex. Andorra, Schweiz, Uruguay, Japan)
- lämpliga skyddsåtgärder, t.ex. BCR (binding corporate rules)
- särskilt tillstånd av IMY, t.ex. standardavtalsklausuler
- samtycke
- överföring vid enstaka tillfälle
28
Vad gäller för BCR (binding corporate rules)?
- skall godkännas av tillsynsmyndigheten (IMY)
- rättslig bindande
- gäller inom en grupp/koncern inkl. anställda
- lämplig skydd & utbildning
29
När kan IMY utfärda ett särskilt tillstånd?
- grunder sig på avtal mellan PU-ansvarig & PU-biträde
- rättigheter för den registrerade
- standardavtalsklausuler
30
När är det godkänt att överföra PU till tredjeland även om det inte finns adekvat skyddsnivå eller lämpliga skyddsåtgärder?
- för att fullgöra ett avtal
| - vid samtycke
31
Vilka delar finns i Privacy Mature Model?
Ad hoc -> repeatable -> defined -> managed -> optimized
32
När kan det bli administrativa sanktionsavgifter på 2 % eller 10 mio €?
- dataintrång
- inte rapportera PU-incident
- inget samtycke vid behandling av barn
- inte implementerat tekniska/organisatoriska åtgärder
33
Vila villkor gäller barns samtycke (art.8)?
- måste finnas målsmans samtycke för barn under 16 år (13 år)
- måste göras rimliga ansträngningar för att inhämta samtycke
- information om behandlingen ska vara anpassat till mottagaren
34
Förklara Privacy by default resp. Privacy by design (art.25)?
- Privacy by default: -uppgiftsminimering
| - Privacy by design: -kryptering, -pseudonymisering
35
Vad gäller för gemensamt personuppgiftsansvariga (art.26)?
- tydlighet mot den registrerade
| - fastställa respektives ansvar
36
Vad gäller för PU-ansvariga eller PU-biträden som inte är etablerade i EU (art.27)?
-företrädare i EU ska utses (ofta One-Stop-Shop-företag)
37
Hur ser relationen ut mellan PU-ansvarig och PU-biträde?
- PU-ansvarig: ->tar beslut om vad som ska behandlas och ->kan överlåta behandlingen
- PU-biträde: ->utför behandlingen
- ska finnas register över behandlingen
38
Vad gäller för PU-biträden (art.28)?
- måste finnas avtal
- måste skyndsamt meddela PU-ansvarig vid incident
- måste inhämta samtycke vid outsourcing
- får endast behandla uppgifterna efter instruktion
39
Vad gäller för register över behandlingen (art.30)?
-kontaktuppgifter
-ändamålet för behandlingen
-beskrivning av kategorier registrerade och PU
-kategorierna av mottagare
-eventuell överföring till tredjeland
eventuell raderingstid
-allmän beskrivning av tekn. & organ. säkerhet
-gäller INTE organisationer med mindre än 250 anställda, dock undantag om:
-->medför risk för registrerades fri- och rättigheter
-->behandling inte är tillfällig
-->innehåller särskilda kategorier
40
Vad gäller angående säkerheten vid behandlingen av PU?
- säkerställa säkerhetsnivå i förhållande till behandlingen (tekn.&organ.)
- CIA - Resilliance (Confidentiality, Integrity, Avaiability)
- regelbundet testa & undersöka effektivitet
41
Beskriv teknisk resp. organisatorisk säkerhet.
Teknisk:
- ändamålet för behandlingen
- uppgifternas art
- hur de ska skyddas: behandlas, transporteras, raderas
- behöver inte vara den senaste tekniken
Organisatorisk:
- rutiner
- processer
- policy
- utbildningar, internt & externt
42
Vad bör man tänka på när det gäller Privacy by design och Privacy by default?
- proaktiv inte reaktiv
- integritet som standard
- integritet inbäddat i systemet
- full funktionalitet
- säkerhet från början till slut
- synlighet och transparens
- håll det användarcentrerat
43
Förklara PETs.
Privacy Enhanced Technologies:
- kryptering
- pseudonymisering
- anonymisering
- anonyma nätverk
- anti-tracking verktyg
44
Vad utgör anonymisering?
- oåterkallelig
| - omöjligt att identifiera den fysiska personen
45
Vad utgör pseudonymisering?
-information som enbart kan kopplas till en fysisk person med hjälp av kompletterande uppgifter, t.ex. hashning eller kryptering
46
Vad vet vi om ePrivacy-förordningen?
- den kommer "snart"
| - gäller framförallt cookies
47
Vad är ett sekretessavtal?
-lagstiftat lojalitetsplikt
| vi ska se upp för konkurensklausuler
48
Vad gäller för anmälan av en PU-incident (art.33&34)?
- inom 72 timmar
- vid risk för den registrerades fri- & rättigheter
- beskriver incidentens art & vilka som berörs
- kontaktuppgifter för ansvarig
- eventuella konsekvenser för de registrerade
- vilka åtgärder som vidtagits
- vid hög risk även anmäla till de registrerade
49
När ska en konsekvensbedömning göras och vad ska göras vid fortsatt hög risk (art.35&36)?
- vid särskilt riskfylld behandling, ett måste vid:
- ->användning av ny teknologi
- ->behandling som kan resultera i hög risk för individers fri- & rättigheter
- behandling som kan resultera i hög risk:
- ->systematisk & omfattande behandling, t.ex. profilering
- ->behandling i stor skala av särskilda kategorier
- ->systematisk övervakning av allmän plats
-vid fortsatt hög risk: förhandsråd
50
Vilka delar ingår i en konsekvensbedömning?
- beskrivning av behandlingsaktiviteten & syftet
- en bedömning av omfattningen & hur nödvändig aktiviteten är
- en bedömning av riskerna för de registrerades fri- och rättigheterna
- åtgärder för att minska riskerna och visa på efterlevnad av lagen
51
När bör det finnas dataskyddsombud (art.37)?
- är det en myndighet eller folkvald församling, dvs. offentlig organ?
- har man som kärnverksamhet att regelbundet, systematisk, i stor omfattning övervaka personer?
- har man som kärnverksamhet att behandla känsliga PU eller uppg. om brott i stor omfattning?
52
Vad är regelbunden och systematisk övervakning (exempel)?
```
-ständig eller återkommande övervakning som sker enligt ett system eller en plan
Exempel:
-spårning & profilering på internet
-positionsspårning
-lojalitetsprogram
-övervakningskameror
-IoT-enheter
```
53
Vad innebär "stor omfattning" (exempel)?
-svårt att bedöma, beror på antal registrerade, mängd uppgifter, typ av uppgifter, hu länge de behandlas
Exempel:
-skjukhus (patientuppgifter)
-kollektivtrafik (reseuppgifter)
-banker & försäkringsbolag (uppgifter om egendom & tillgånger)
54
Vilken ställning har dataskyddsombudet (art.38)?
- intern eller extern
- särställning, får inte avsättas
- får inte finnas intressekonflikt
- ska rapportera till ledningen
55
Vilka uppgifter har dataskyddsombudet (art.39)?
- ge råd & informera om behandlingar
- övervaka efterlevnaden
- rådgöra om konsekvensbedömningar
- samarbete med tillsynsmyndigheten (IMY)
