Lite exempel från verklighetenLektion sju

Denna kurs handlar i huvudsak om GDPR utifrån dig som privatperson och inte utifrån din roll som bibliotekarie. Förhållningsregler och praxis skiljer sig mycket från kommun till kommun och undrar du något specifikt så är det till verksamhetens jurister eller GDPR-ansvariga du bör vända dig. Vi kan dock titta på lite allmänt hållna riktlinjer utifrån juridiska texter som kan vara bra att ha i bakhuvudet, även för dig som privatperson. Detta kan också tjäna som lite av en repetition.

Företag, organisationer och tjänster som behandlar dina personuppgifter måste informera vilken data de samlar in om dig och du har nog stött på och snabbt klickat bort pop up-sidor som den nedan för att få tillgång till webbsidan. Dessa informerar dig om vilka av dina personuppgifter som behandlas och eventuella tredjepartsleverantörer dina uppgifter sprids vidare till.

Integritetsprompt från webbsida som listar en mängd olika val där besökaren får välja om den vill att ens data ska behandlas eller inte.

Integritetsprompt som listar hur din data kommer användas.

När man klickar på ”See vendors” längst ner får vi upp alla tredjepartsleverantörer som på olika sätt behandlar din data, vilken laglig grund de åberopar och deras syfte med detta. Se gärna videon nedan för att få en uppfattning över vilka mängder av aktörer som typiskt är inblandade. Det är fullt möjligt att välja bort alternativ, men i praktiken klickar man ju allt som oftast bara på ”OK” för att få tillgång till webbsidan i fråga.

En typisk integritetsprompt som redovisar vilka olika aktörer som vill få tillgång till din data på en webbsida.

Om vi tittar på Digitekets GDPR-informationstext så framgår det vilka av dina personuppgifter vi behandlar och varför:

“Vi behöver spara och behandla personuppgifter om dig, så som namn, e-postadress, arbetsplats, pågående och avklarade kurser. Syftet med en sådan behandling är för att kunna ge dig en bild av din utbildning och för att vi ska kunna ta ut geografisk (ej personknuten) statistik.”

Vi berättar också vilken rättslig grund vi åberopar för behandling av personuppgifterna, i detta fall samtycke, och hur länge uppgifterna kommer sparas:

“Den rättsliga grunden för att behandla dina personuppgifter är ditt samtycke. Du har när som helst rätt att återkalla ditt samtycke till behandlingen. Dina uppgifter kommer att sparas så länge du har ett konto i Digiteket.”

Vidare så redogörs för hur dina personuppgifter eventuellt delas vidare med andra, i detta fall med Kungliga Biblioteket.

“De personuppgifter vi behandlar om dig delas med Kungliga Biblioteket. Vi kan även komma att dela dina personuppgifter med en tredje part, förutsatt att vi är skyldiga att göra så enligt lag. Däremot kommer vi aldrig att överföra dina uppgifter till ett land utanför EU.”

Sist redovisas vem som är juridiskt personuppgiftsansvarig i verksamheten, kontaktuppgifter och vem man ska vända sig till vid klagomål:

“Personuppgiftsansvarig är Mats Niklasson. Du har rätt att kontakta oss om du vill ha ut information om de uppgifter vi har om dig, för att begära rättelse, överföring eller för att begära att vi begränsar behandlingen, för att göra invändningar eller begära radering av  dina uppgifter. Detta gör du enklast genom att kontakta oss på kontakt@digiteket.se. Du når vårt dataskyddsombud på mats.niklasson@kb.se. Om du har klagomål på vår behandling av dina personuppgifter har du rätt att inge klagomål till tillsynsmyndigheten Datainspektionen.”

Reflektionsfråga

Titta på din egen organisations webbsida och hitta dess GDPR-informationstexten. Är den enkel och lättfattlig? Innehåller den all information som krävs?

Om du loggar in kan du spara dina framsteg och få personligt rekommenderade kurser.