Under kvällen den 17 juni genomför vi ett planerat underhåll av IMY.se. Webbplatsen, och våra e-tjänster, kan därför vara svåra att nå en kortare stund under denna kväll. Besökare kan komma att se en servicesida.
Här får du svar på vanliga frågor som vi får in till IMY. Du kan söka, filtrera på kategorierna AI, dataskydd, kamerabevakning, kreditupplysning samt utbildning och stöd. Du kan även välja om du vill se frågor från privatpersoner eller från verksamheter.
Sök på sidan
Det finns {{hitCount}} träffar som matchar din sökning.
Ja, om ni använder er av kamerabevakning måste ni alltid informera om det på ett begripligt och lättillgängligt sätt. Dataskyddsförordningen (GDPR) ställer flera krav på vad informationen ska innehålla.
IMY:s rekommendation är att ni informerar dem som bevakas på två olika sätt, via två så kallade informationslager. Det första lagret ges normalt på en skylt med den viktigaste informationen om bevakningen. Skylten bör placeras i ögonhöjd så det blir tydligt att ett område är bevakat innan någon går in på det. Om det finns flera olika ingångar till ett bevakat område bör varje ingång ha en separat skylt. Ett andra informationslager med all information som ska lämnas kan ges på annat sätt.
Nej, den som ska sätta upp kameror måste alltid göra en bedömning av om det verkligen finns ett behov av bevakning av just den plats som ska bevakas. Eftersom skolgårdar generellt har ansetts vara brottutsatta är det dock oftast tillåtet att bevaka fasader och ytan två meter ut från dem även om det inte har hunnit ske någon skadegörelse på aktuell skola.
Enligt praxis har skolgårdar generellt ansetts vara brottsutsatta platser. Vid området precis vid skolbyggnaders fasader anses integritetsintresset vara relativt lågt. Fasader och ytan två meter ut från fasaden brukar därför generellt sett vara tillåtna att kamerabevaka.
Med hänsyn till det höga integritetsintresset som gäller för skolgårdar har följande tider, så kallade praxistider, accepterats för kamerabevakning, om inget särskilt framkommit som föranlett en annan bedömning: måndag–fredag klockan 20.00–06.00 samt lördag, söndag och övriga skolfria dagar klockan 17.00–07.00.
Vi bedriver tillsyn för att säkerställa att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter. Vi genomför normalt tillsyn genom att skicka frågor som organisationen ska svara på skriftligen (skrivbordstillsyn). I brevet till organisationen framgår syftet med tillsynen. Ibland räcker det med de svar som vi får vid första tillfället, men det händer även att vi ställer kompletterande frågor. Vi kan också genomföra tillsyn på plats hos en organisation (inspektion). Om en inspektion ska genomföras får organisationen normalt information om detta i förväg.
IMY kontrollerar att bestämmelserna i dataskyddsförordningen (GDPR) och andra bestämmelser som kompletterar dataskyddsförordningen, till exempel kamerabevakningslagen, följs. När ärendet är utrett fattar vi ett beslut i ärendet. Vi har ett antal så kallade korrigerande befogenheter, såsom exempelvis varning, föreläggande och administrativa sanktionsavgifter. Det är åtgärder som vi kan rikta mot den som bryter, eller riskerar att bryta, mot reglerna i GDPR.
Integritetsintresset på skolor anses generellt sett vara högt, eftersom barn och unga uppehåller sig där. Barns personuppgifter anses särskilt skyddsvärda enligt dataskyddsförordningen (GDPR). Skolan är även en arbetsplats där elever och personal måste befinna sig under verksamhetstid.
Bevakning efter skoltid – när elever och anställda gått hem och lokalerna är låsta och larmade – är normalt sett tillåten. Utomhus används dock ofta skolgårdar som lekplatser eller för andra fritidsändamål vilket medför att det även under kvällstid kan vara ett högt integritetsintresse på dessa platser.
Samtliga uppförandekoder som godkänts av behöriga tillsynsmyndigheter ska publiceras på den ansvariga tillsynsmyndighetens webbplats och på EDPB:s webbplats. Det finns därför inga hinder för branschorganisation att granska befintliga uppförandekoder och de krav som ställts däri.
Observera att varje uppförandekod måste kunna svara mot de särskilda dataskyddsbehov som finns i en bransch eller sektor. Om det redan finns en uppförandekod inom en bransch eller sektor behöver den som utarbetar ytterligare en uppförandekod visa vilka behov den svarar mot. Dessutom måste alltid uppförandekodens upphovsman kunna visa på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden. Detta kan behöva granskas närmare om det förekommer flera uppförandekoder inom en bransch eller sektor.
I sammanhanget kan också nämnas att flera organisationer som är verksamma i samma bransch eller sektor kan utarbeta gemensamma uppförandekoder. Det kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.
När det gäller att kopiera kraven i en befintlig uppförandekod kan det slutligen finnas upphovsrättsliga hinder för att göra detta. IMY kan dock inte uttala sig närmare om upphovsrätten för uppförandekoder, eftersom det är något som ligger utanför myndighetens ansvarsområde.
Ja, ansvarsfördelningen för personuppgiftsbehandlingen inom en bransch eller sektor är ett lämpligt område att reglera i en uppförandekod. När det gäller gemensamt personuppgiftsansvar kan uppförandekoder exempelvis innehålla krav om hur överenskommelser, enligt artikel 26.1 i dataskyddsförordningen, ska vara utformade.
Ja, det är möjligt att ta fram flera uppförandekoder inom samma bransch. Varje uppförandekod måste dock svara mot ett identifierat dataskyddsbehov inom en bransch och respektive branschorganisation måste också uppfylla kravet på representativitet, det vill säga att organisationen är en effektiv representant för en grupp av personuppgiftsansvariga eller -biträden.
Flera organisationer som är verksamma i samma bransch eller sektor kan emellertid också utarbeta gemensamma uppförandekoder. Detta kan vara ett sätt dels att spara på kostnader och dels att få ett större genomslag för dataskyddet i den aktuella branschen eller sektorn.
Det bör vara möjligt för företag som bedriver övervakningsverksamhet att konsultera med den som utarbetar uppförandekoden då den tas fram. Det är dock viktigt att uppförandekodens upphovsman inte försöker påverka det potentiella övervakningsorganet på ett sätt som kan påverka dess oberoende, vare sig under utarbetandet av uppförandekoden eller när koden tillämpas. Kontakter mellan företag som bedriver övervakningsverksamhet och uppförandekodens upphovsman bör därför dokumenteras under arbetet med att ta fram uppförandekoden.
