Metod 2 Flashcards
(13 cards)
- Vilken funktion fyller “skälen” i dataskyddsförordningen (de inledande bevekelsegrunderna innan själva lagtexten)?
Kan Du nämna ett exempel på ett skäl som skulle kunna innehålla relevant information?
Skälen kan användas när man behöver tolka någon specifikt.
Ge förklaringar och kontext till själva lagtexten, fungerar som riktlinjer till hur lagen ska tolkas och tillämpas
Subjektiv/historiska tolkning kring hur lagstiftaren resonerade
- Enligt artikel 2.1 i dataskyddsförordningen gäller den även för annan behandling av personuppgifter än automatisk om uppgifterna ingår i eller kommer att ingå i ett register.
Kan Du ge ett exempel på detta?
Exempel på detta kan vara när en läkare eller sjuksköterska inrättar eller tar emot/dokumenterar patientinformation i en pappersjournal.
Eller närvarolista som lärare för in i en databas
Manuell behandling avser
3.
- Peter vill inrätta och föra ett företagsregister i samband med hans enskilda firma. Registret ska innehålla information om olika företag samt deras kontaktpersoner.
Gäller dataskyddsförordningen för Peters register?
För enskild firma gäller GDPR, förutsatt att det är kontaktpersoner som lagras inom den enskilda firman.
Stödet för detta påstående är i dataskyddsförordningen artikel 4.1
Dvs. det är inte tillåtet att föra ett sådant register.
Hämtas stöd i andra rättsgrunder innan du hänvisar till samtycke.
- Borlänge kommun har lagt ut databehandlingen av sin löneadministration på ett företag som ligger i Kiruna.
Vem är personuppgiftsansvarig för dessa uppgifter enligt dataskyddsförordningen?
Är det någon skillnad om företaget man lagt ut löneadministrationen till finns i Trondheim, Davos eller San Francisco?
Borlänge kommun är ansvarig för det är dom som bestämmer ansvaret och ändamålet för personuppgifterna.
Det spelar ingen roll vem eller vart uppgifterna behandlas, avgörande är den som anses ansvarig är etablerad i EU. Och att den organisationen bestämmer ändamålen och medlen, det är det avgörande.
Det spelar roll vilken land man lagt ut löneadministrationen till
* Norge är med i EES, är helt OK
* Schweiz är inte med i EES men har adekvat skydd(??)
* USA är överföring till tredjeland då det handlar främst om det är utanför EU/EES
(krävs att man laddas upp till en server som är utanför)
Personuppgiftsbiträde är det företaget som borlänge kommun har anställt/outsourcat till.
Biträde: Behandlar personuppgifter enl. den ansvariges räkning
Kan se mer på art. 26(lite annorlunda)
- Ett kinesiskt företag D bedriver omfattande handel med Sverige. Som ett led i verksamheten behandlar företaget personuppgifter med hjälp av en dator som finns i Malmö.
Gäller dataskyddsförordningen för D? Blir det någon skillnad om den dator som finns i Malmö enbart används för att föra över uppgifter mellan D och deras dotterbolag i Kanada?
Artikel 3.2 (andra stycket)
Handlar om företaget D etablerat i Sverige eller ej?
- Isåfall vad är en etablering?
Är en dator en “stabil struktur”?
- Lagstiftaren avser ex. ett kontor eller en adress, något man kan sätta fingret på att “här finns en etablering av verksamheten”
- En dator är därmed inte en stabil struktur
Behandlar dom ex. kinesiska eller kanadensiska personuppgifter så gäller inte dataskyddsförordningen.
Dock är det europeiska uppgifter spelar det ingen roll om de behandlas i kina eller Kanada.
- Suzanne är student på en regional högskola i Sverige och har med hjälp av sin dator upprättat en hemsida om hennes studentliv på Facebook. Hon skriver bl.a. om en av hennes lärare som har haft Corona och som nu tillsvidare är sjukskriven. Hon berättar även om lärarens civilstånd och lägger ut en bild, som visar läraren i demonstrationståget den 1 maj i år.
Gäller dataskyddsförordningen för Suzannes behandling? Om ja, är behandlingen tillåten?
Om det räknas som helt privat syfte så räknas det inte som det, enl. artikel 2c
Under Skäl nr 18 tar den upp att förordningen INTE är till tillämplig på fysiska personers personuppgifters vars verksamhet är helt och hållet privat eller har samband med personens hushåll
Om man publicerar något på internet, och publiceringen kan nå ett obegränsat personer, så kan det aldrig anses vara privat, och då kan man inte åberopa skäl nr 18… Dvs. så fort något läggs ut som är fritt tillgänglig gäller dataskyddsförordningen.
Artikel 6 och artikel 9, det är inte tillåtet om INTE behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. artikel 9(2)(e).
- Micke funderar över att gå med i sociala medier. När han läser tjänsteleverantörernas avtalsvillkor blir han fundersam:
Ett av villkoren är att han måste samtycka till behandlingen av hans personuppgifter när han använder tjänsten (tjänsten är i övrigt ”gratis”).
Samtycket ska omfatta till och med tredje parts marknadsföring. Är detta villkor förenligt med dataskyddsförordningen?
Om verksamheten kan motivera att det är nödvändigt att marknadsföra personuppgifterna så är det OK.
Nödvändighetsbedömningen
- Går det att motivera att drift av tjänsten kräver att personuppgifter används för tredje parts marknadsföring?
Handlar avtalet mellan sociala median och användaren om det?
Indirekt, JA
Direkt, Nej.
Användaren är inte direkt intresserad av marknadsföringen, vi är intresserad av tjänsten.
Hur dom finansierar sin tjänst är en annan fråga, det är inte relevant för användaren. Kan man argumentera.
Är samtycket verkligen frivilligt om du inte tillåts använda tjänsten? Vad händer om vi säger nej?
Artikel 7(4), kommer driva fler tjänsteleverantörer in i “spotify-modellen”. Dvs. 2 versioner av en tjänst, betaltjänst vs du betalar med dina personuppgifter.
- Tina driver en kommersiell webbsida och vill använda sig av en segmentering av besökare för att kunna visa personaliserad reklam.
Denna behandling ska genomföras automatiserat av ett datorprogram och med hjälp av cookies.
Tina undrar om en sådan behandling skulle vara tillåten enligt dataskyddsförordningen?
Laglighetsgrunden utifrån GDPR
Ex. Intresseavvägningen, beroende på hur integritetskänslig behandlingen är.
Mer kränkande = desto svårare blir det.
2 olika samtycken:
- Samtycken till cookies.
- Samtycken till behandling av personuppgifter i cookies.
Enl. Artikel 22 avser andra typer av beslut som ex. automatiserad rekrytering.
Automatiserad reklam har inga rättsliga följder, det påverkar inte heller personen i “betydande grad”..
Därmed är sådan behandling tillåten, ja!
- Cecilia jobbar som dataskyddsombud på en statlig myndighet.
Nu dundrar den högsta myndighetschefen in i hennes kontor som anser att Cecilia sprider en negativ bild av myndigheten genom hennes noggranna granskningar.
Han beordrar henne att sluta göra konsekvensbedömningar eller anmäla personuppgiftsincidenter när hon granskar myndighetens behandlingar av personuppgifter.
Är chefens agerande förenligt med dataskyddsförordningen?
Enl. artikel 38(3)
“Dataskyddsombudet ska inte ta emot instruktioner som gäller utförandet av dessa uppgifter.”
Chefens agerande är därmed inte förenligt med GDPR.
- Hur påverkar dataskyddsförordningen säkerhetsaspekter i samband med en behandling av personuppgifter som utförs av personuppgiftsansvariga?
Se Artikel 25(1),
Personuppgiftsansvarig ska genomföra lämpliga tekniska och organisatoriska åtgärder för ett effektivt genomförande av dataskyddsprinciper som ex. Pseudonymisering så att dom kraven i förordningen uppfylls och att de registrerades rättigheter skyddas.
- En svensk kommun vill teckna ett molntjänstleverantörsavtal med ett amerikanskt bolag.
Molntjänsten innebär en behandling av personuppgifter.
Vilka aspekter måste beaktas enligt dataskyddsförordningen?
Måste skriva på ett biträdesavtal, artikel 28.
Artikel 45,
Finns det en adekvat skyddsnivå?
Nej
Titta då på artikel 46.
- Begränsa tillgången till vem som får tillgång till uppgifterna hos tjänsteleverantören
Vid molntjönster som dessa:
- Biträdesavtal
- Ha koll på tredje lands överföring
Läs 1 kap. 7 § i nya konsumentköplagen.
Vad kan vi lära oss av den bestämmelsen och vilken betydelse kan detta ha inom ramen för dataskyddsförordningen?
“Lagen gäller även avtal, där näringsindikare mot betalning…
Inom ramen för köpeavtal kan man numera betala med sina personuppgifter?
