Checklista

Förslag på frågor att besvara för att skapa en bild av vilken personuppgiftsbehandling som är aktuell i er innovation.

Det är viktigt att du och din organisation tidigt i arbetet skapar en gemensam bild av vad ni vill åstadkomma med en innovation. I denna checklista finns förslag på frågor att besvara för att skapa en bild av vilken personuppgiftsbehandling som är aktuell i er innovation, digitalisering och digital verksamhetsutveckling.

Det är bra att under arbetets gång återkomma till dessa frågor för att säkerställa att ni följer dataskyddsförordningen. Kom ihåg att dokumentera svaren på frågorna tillsammans med era resonemang och ställningstaganden.

  1. Har ni involverat dataskyddsombudet så tidigt som möjligt i arbetet med innovationen?
  2. Behandlar ni personuppgifter genom/i innovationen?
    • Behandlar ni enbart uppgifter som är nödvändiga med hänsyn till ändamålet för behandlingen?
  3. Ska ni samla in nya personuppgifter, eller ska ni behandla personuppgifter ni redan behandlar på ett nytt sätt?
  4. Vad är det övergripande syftet med behandlingen och varför ska den införas?
  5. Vilken aktör (avdelning, enhet, etc.) ska utföra behandlingen?
    • Är flera aktörer inblandade i behandlingen?
  6. Vem är personuppgiftsansvarig för den pågående behandlingen? Kan ett gemensamt personuppgiftsansvar föreligga mellan er och någon ytterligare aktör?
  7. Kan en biträdessituation föreligga i en eller flera delar av personuppgiftsbehandlingen?
  8. Har ni säkerställt att eventuella personuppgiftsbiträden är tillförlitliga genom att de ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas?
  9. I vilken omfattning sker personuppgiftsbehandlingen?
    • Hur många registrerade kommer att beröras av behandlingen?
    • Hur många personuppgifter om varje registrerad kommer att behandlas?
  10. Behandlas känsliga personuppgifter, uppgifter om lagöverträdelser eller person- eller samordningsnummer?
  11. Har ni säkerställt att en rättslig grund finns för all aktuell personuppgiftsbehandling i dataskyddsförordningen och författningar som styr er verksamhet?
  12. Hur ska behandlingen utföras?
    • Har ni haft inbyggt dataskydd och dataskydd som standard som utgångspunkter i framtagandet av innovationen?
    • Vilket system ska användas för behandlingen?
    • Vilka behandlingar av personuppgifter utförs, är det till exempel insamling, hämtning, lagring och gallring?
    • Har ni kartlagt alla delar av flödet av personuppgifter i innovationen (vilka komponenter som ingår, vilka behandlingar och eventuella lagringar som sker av personuppgifterna i dessa komponenter)?
    • Hur samlas personuppgifterna in? Varifrån kommer de?
    • Med vem delas personuppgifterna, till exempel andra aktörer, leverantörer, personuppgiftsbiträden, osv.?
    • Förekommer tredjelandsöverföring i någon del? Har ni i så fall säkerställt att ni har stöd för överföringen?
  13. Har ni informerat de registrerade om personuppgiftsbehandlingen
  14. Kan ni ta omhand begäran från registrerade om att utöva rättigheter?
  15. Har ni med särskild hänsyn tagen till de risker som behandling medför vidtagit lämpliga säkerhetsåtgärder för att skydda personuppgifterna?
  16. Har ni en process för att dokumentera, rapportera och hantera säkerhetsincidenter?
  17. Har ni dokumenterat personuppgiftsbehandlingen som helhet, inbegripet de ändamål för vilka personuppgifter behandlas, säkerhetsåtgärder, rättslig grund etc.?
Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: