Här får du svar på vanliga frågor som vi får in till IMY. Du kan söka, filtrera på kategorierna dataskydd, kamerabevakning och kreditupplysning och även välja om du vill se frågor från privatpersoner eller från verksamheter.
Sök på sidan
Det finns {{hitCount}} träffar som matchar din sökning.
När det gäller hantering av lösenord finns fyra punkter som vi vill nämna:
Använd flerfaktorautentisering när ni hanterar skyddsvärda uppgifter över öppet nät eller på internet. Förlita er inte på autentisering med enbart användarnamn och lösenord.
Om ni använder lösenord i verksamheten, använd en bra lösenordshanterare.
Tvinga inte användaren att ha lösenord som är svåra att komma ihåg, särskilt om ni inte använder lösenordshanterare. Det finns risk att användaren skriver ner lösenordet.
Hantera aldrig lösenord i klartext, särskilt inte i behörighetsstyrningssystemen eller lösenordsdatabaser.
Några andra grundläggande tips:
Använd unika lösenord för respektive tjänst.
Använd så långa lösenord som möjligt – längd slår komplexitet.
Sätt upp regler så att användaren byter från standardlösenordet till ett eget lösenord.
Lösenord ska aldrig lånas ut eller lämnas över till någon annan.
Ytterligare en faktor kring lösenord som är viktig att säkerställa är att det finns regler inom organisationen för autentiserings- och behörighetsfrågan, och därmed även lösenordshanteringen. Organisationen måste tydliggöra för användaren vad som gäller och vilka krav som ställs beroende på system eller informationstillgång.
Systematiskt dataskydd är att arbeta förebyggande och kontinuerligt med dataskydd i verksamheten för att stärka integriteten för de personer vars personuppgifter verksamheten behandlar.
Genom att integrera dataskyddet i organisationens ordinarie styr-, stöd- och kärnprocesser, så genomsyras organisationens vardagliga verksamhet till den grad att dataskyddet alltid tillgodoses. Dataskyddet blir därmed en naturlig del inom utvecklings-, förändrings- och förbättringsprocesserna såväl som i övriga processer.
Det handlar bland annat om att anpassa de organisatoriska och tekniska åtgärderna utifrån den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers fri- och rättigheter.
Syftet är att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för personers rättigheter och friheter.
Överföring av personuppgifter till tredjeland
EU-kommissionens senast beslutade standardavtalsklausuler för tredjelandsöverföring publicerades den 4 juni 2021. De utgör sådana lämpliga skyddsåtgärder som avses i artikel 46.2 c GDPR men kan behöva kompletteras av ytterligare åtgärder beroende på skyddsnivån för personuppgifter i mottagarlandet.
Dessa standardavtalsklausuler ersätter de klausuler som EU-kommissionen tidigare fattat beslut om enligt dataskyddsdirektivet.
Nej, eftersom ni har en skyldighet att ha interna rapporteringskanaler enligt visselblåsarlagen behöver ni i enlighet med 5 § 2 förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning varken söka tillstånd hos IMY eller följa 2 § 4 DIFS 2018:2 för sådan behandling som behövs enligt den nya visselblåsarlagen.
Som vanligt gäller dock att den personuppgiftsansvariga ska följa dataskyddsförordningen vid behandling av personuppgifter, såsom exempelvis de grundläggande principerna i artikel 5 i dataskyddsförordningen.
Gäller er med färre än 50 arbetstagare:
Ja. Verksamhetsutövare med färre än 50 arbetstagare är inte skyldiga att ha interna visselblåsarkanaler enligt visselblåsarlagen. Om ni frivilligt vill inrätta särskilda rapporteringskanaler kommer ni alltså att behöva följa 2 § 4 DIFS 2018:2 eller söka tillstånd hos IMY i förväg om ni har behov av att behandla personuppgifter om lagöverträdelser på ett sätt som går utöver vad som medges i dessa föreskrifter.
I den utsträckning som behandlingen av personuppgifter är nödvändig för att fullgöra era skyldigheter enligt visselblåsarlagen kan myndigheten stödja sig på den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.
För de myndigheter som har ett särskilt uppdrag att tillhandahålla en extern rapporteringskanal har dessa myndigheter också en rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen att i enlighet med kraven i visselblåsarlagen och i förordning (2021:949) om skydd för personer som rapporterar om missförhållanden behandla personuppgifter i den externa rapporteringskanalen.
Generellt kan sägas att visselblåsarlagen innehåller särskilda regler om behandling av personuppgifter i lagens sjunde kapitel. Reglerna i visselblåsarlagen kompletterar de bestämmelser om behandling av personuppgifter som finns i dataskyddsförordningen. Vid behandling av personuppgifter enligt visselblåsarlagen framgår att även lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen, till exempel förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning, gäller om inte annat följer av visselblåsarlagen eller andra föreskrifter som meddelats till visselblåsarlagen.
I sjunde kapitlet framgår bland annat att personuppgifter bara får behandlas om behandlingen är nödvändig för ett uppföljningsärende enligt lagen. Vad som avses med uppföljningsärende framgår av lagen. Vidare gäller att personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport om visselblåsning inte får samlas in och snarast möjligt ska raderas om de samlats in av misstag. Personuppgifter får inte heller behandlas längre än två år efter att uppföljningsärendet avslutats. För myndigheter hindrar det inte att myndigheten arkiverar och bevarar allmänna handlingar där personuppgifter förekommer eller att arkivmaterial lämnas till en arkivmyndighet.
I visselblåsarlagen anges också att det endast är personer som är behöriga att ta emot, följa upp och lämna återkoppling på rapporter får ha tillgång till personuppgifter som behandlas i ett sådant ärende.
I den utsträckning som behandlingen av personuppgifter är nödvändig för att fullgöra era skyldigheter enligt visselblåsarlagen kan ni stödja er på den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.
Om föräldrarna medverkar tillsammans och gör en klasslista på eget initiativ för att de vill kunna kommunicera med varandra gäller inte dataskyddsförordningen (GDPR), så länge klasslistan inte sprids okontrollerat, exempelvis till alla med en internetuppkoppling.
Dataskyddsreglerna tillämpas inte på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur. Dataskyddsförordningen ger inte föräldrar rätt att kräva att skolan sammanställer klasslistor och lämnar ut till föräldrarna. Det är skolan som tar ställning till det och om det är möjligt med hänsyn till dataskyddsförordningen.
När skolor behandlar personuppgifter är dataskyddsförordningen tillämplig. Det innebär att den som är personuppgiftsansvarig för skolans behandling av personuppgifter ska tillämpa dataskyddsförordningen.
I den tillämpningen ingår att bedöma om den behandling skolan vill utföra är tillåten och utförs enligt dataskyddsförordningen, det i enlighet med ansvarsprincipen som kommer till uttryck i artikel 5.2 i dataskyddsförordningen. Har man synpunkter på en skolas behandling av personuppgifter kan man vända sig till den personuppgiftsansvariga eller dennes dataskyddsombud.