Vad händer om man bryter mot GDPR?

Genom tillsyn kan IMY kontrollera att dataskyddsförordningen och andra bestämmelser som kompletterar förordningen följs.

Vi kan till exempel inleda tillsyn efter klagomål eller tips från en anställd, en facklig organisation, eller uppgifter i media.

Innan man anmäler till oss är det ofta bra att först försöka lösa problemet själv genom att ta upp det med arbetsgivaren. En anställd kan ta hjälp av facket eller ett dataskyddsombud. Inför en diskussion med arbetsgivaren kan man söka vägledning från oss, i första hand genom information på webben. Till en eventuell anmälan är det bra att lämna in ett underlag om vad som har hänt, exempelvis vad man har framfört till arbetsgivaren och vilka besked arbetsgivaren gett. Skriftlig dokumentation, till exempel e-post, är värdefull när vi ska bedöma om det finns skäl att inleda tillsyn.

Vad krävs för att kunna få skadestånd?

Den som har blivit utsatt för brott (målsäganden) kan ha rätt till skadestånd. Skadestånd är pengar som den som har dömts för brottet betalar till målsäganden. För att målsäganden ska få skadestånd måste han eller hon kräva det senast vid rättegången.

Det är åklagaren som ska berätta för målsäganden hur mycket pengar som man kan kräva att få. Det är också åklagaren som ska framföra kravet på skadestånd under rättegången om målsäganden vill det. Om den som utsatts för brott har ett målsägandebiträde är det i stället målsägandebiträdet som berättar om skadeståndet och framför kravet.

Vad får man inte göra enligt GDPR?

Myndigheter, organisationer och företag som behandlar personuppgifter måste göra det i enlighet med dataskyddsförordningens grundläggande principer. Här kommer vi att sammanfatta principerna som är förordningens kärna och som alltså ska genomsyra all hantering av personuppgifter.

För det första är principer otroligt viktigt när man ska tillämpa dataskyddslagen med tanke på att den implementerades relativt nyligen. Då vi inte har särskilt mycket praxis att gå på så blir principerna ett viktigt hjälpmedel. GDPR utvecklas dock ständigt och det kan snabbt komma nya saker att ta i beaktning.

Behandling av personuppgifter måste följa dataskyddslagen, dataskyddsförordningen och övriga, kompletterande, lagtexter. Hanteringen av personuppgifter ska också vara proportionerlig och rättvis i förhållande till den som registreras.

Hanteringen ska vara öppen. Som individ har du rätt att veta hur och när uppgifter om dig behandlas. Hanteringen behöver därför vara lättbegriplig och tydligt kommunicerad. Det får inte finnas några tvivel kring att personuppgifter samlas in eller varför personuppgifter behandlas. De som registreras ska också kunna ta reda på hur eventuella fel i de registrerade uppgifterna kan rättas till och vad som krävs för att uppgifterna ska raderas helt och hållet.

Är GDPR tvingande?

(69) När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, eller på grund av en personuppgiftsansvarigs eller en tredje parts berättigade intressen, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(69) Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject.

Kan jag som privatperson bryta mot GDPR?

Personuppgifter är inte bara det vi först kanske har i åtanke, som namn och personnummer, utan all information som på något sätt kan kopplas till dig som person, till exempel en bild, en ljudinspelning, registreringsnumret på din bil eller din dators ip-adress.

Det pratas mer och mer om den personliga integriteten och risken att den kränks på internet. Men vad innebär egentligen integritet och varför är den viktig att skydda?

Med behandling menas att på något sätt samla in, registrera, spara eller använda en uppgift som kan kopplas till en viss person.

Vad är en GDPR incident?

Dataskyddsförordningen, GDPR, innehåller inte bara regler om inhämtande och behandling av personuppgifter utan även omfattande regler för hur man som personuppgiftsansvarig är skyldig att hantera så kallade personuppgiftsincidenter. En personuppgiftsincident är kortfattat en händelse som leder till att inhämtade personuppgifter förstörs, förloras, förändras eller röjs, dvs att de av något skäl kommer i orätta händer. Det kan vara fråga om något som inträffat hos den personuppgiftsansvarige själv eller hos någon som är personuppgiftsbiträde åt denne, såsom exempelvis en IT-leverantör.

Praktiska exempel på personuppgiftsincidenter kan vara att en dator som innehåller personuppgifter stjäls vid ett inbrott, att personuppgifter oavsiktligt raderas i mäklar- eller kundvårdssystem eller att personuppgifter genom ett e-postmeddelande som skickas till fel mottagare blir åtkomliga för obehöriga.

Vad är rimligt skadestånd?

Den som döms för brott kan i vissa fall behöva betala skadestånd till den som drabbats av brottet. För att bli skadeståndsskyldig krävs att man orsakat en skada. Skadeståndet ska som utgångspunkt ersätta den skada som uppstått. Som exempel kan nämnas en person som bryter sig in i ett hus genom att krossa ett fönster och sedan stjäl saker inne i huset. Om personen senare döms för stölden kan han eller hon också bli skyldig att betala för reparationen av fönstret. Ett annat exempel är att någon misshandlar en person så illa att den drabbade behöver uppsöka läkare. I sådana fall kan den som döms för misshandeln bli skyldig att betala kostnaderna för läkarbesök.

Skadeståndet betalas till den som drabbats av brottet och är alltså en form av kompensation till den skadelidande. Ofta har den drabbade redan betalat de kostnader som uppstått. Den som döms för brottet blir då skyldig att ersätta den drabbade för de utgifter han eller hon haft. Skadeståndet är inte ett straff eller en påföljd, som t.ex. böter, som betalas till staten. I de brott där ingen person eller företag drabbats av skada behöver den dömde alltså inte betala något skadestånd.

Vilka typer av skador kan man få ersättning för?

Ersättning för inkomstförlust vid en personskada ska motsvara skillnaden mellan den inkomst du hade före och den du har efter skadan. Beräkningen blir densamma vid alla typer av skadestånd vare sig det är fråga om trafikolycka eller en ansvarsskada (t ex om du halkar på en trottoar som någon försummat att sanda eller om du blir misshandlad). Ersättningen regleras i Skadeståndslagen kapitel 5.

Löntagare

Vad faller under GDPR?

Typiska personuppgifter är personnummer, namn och adress. Bilder på och ljudupptagningar av individer som behandlas i dator kan vara personuppgifter även om inga namn nämns.

Vad räknas som GDPR?

Egentligen kan man säga att alla uppgifter som direkt eller indirekt kan kopplas till en person är en personuppgift. Normalt tänker man då på personnummer, namn och adress. Men även foton på personer klassas faktiskt som personuppgifter.

Vad säger du om ett fordons registreringsnummer då? Jo, det kan faktiskt också vara en personuppgift – om det går att knyta till en person. Vilket innebär att registreringsnumret för en företagsbil som används av många olika anställda normalt inte är en personuppgift, eftersom det inte går att knyta registreringsnumret till en person.

Vem anmäler man GDPR till?

Företag kan få betala miljoner vid brott mot GDPR. Om ett företag eller en organisation bryter mot reglerna i dataskyddsförordningen, kan Integritetsskyddsmyndigheten besluta att företaget ska betala en sanktionsavgift. Avgiften varierar från fall till fall.

Som högst kan det vara 20 miljoner euro eller 4 procent av bolagets globala omsättning för större överträdelser. Det kan även vara 10 miljoner euro eller 2 procent av omsättningen vid mindre överträdelser enligt Art. 83 GDPR (det högre alternativet).

Hur mycket kan man begära i skadestånd?

Polisen vill veta vad du vill ha i skadestånd av gärningspersonen. Här får du reda på vad du kan få ersättning för och exempel på olika belopp.

Om du är osäker på vilket belopp du ska begära räcker det med att säga till polisen att du vill ha skadestånd. Du kan sedan återkomma om vilket belopp så länge du gör det före rättegången. Polisen skickar vidare dina krav till åklagaren som hjälper dig att begära skadestånd av gärningspersonen.

Vilken ersättning har jag rätt till?

Det finns flera former av ekonomiska stöd och bidrag du kan söka i Sverige. Du måste uppfylla vissa krav för att ha rätt till ersättning.

Försäkringskassan är en statlig myndighet som ansvarar för stora delar av det svenska trygghetssystemet. För de flesta ersättningarna gäller att du är försäkrad i Sverige.

Vad innebär GDPR för privatpersoner?

Att dela dina personuppgifter kan underlätta i din vardag på många sätt, men det är också viktigt att komma ihåg att dina personuppgifter är värda att skydda. Dataskyddsreglerna ger dig rättigheter som du kan utöva gentemot dem som hanterar dina personuppgifter.

Dataskyddsreglerna grundar sig i de mänskliga rättigheterna. Alla människor har rätt till respekt för privat- och familjeliv och till skydd av sina personuppgifter. För att kunna skydda dina personuppgifter är det viktigt att känna till vilka rättigheter du har och hur du utövar dem.