Welcome to our GDPR Hero-blog

We write and publish blog posts about the latest GDPR news,
as well as informative posts about provisions in GDPR.

När trädde förordningen i kraft?
Förordningen började tillämpas den 25:e maj 2018. En förordning är (till skillnad från tidigare direktiv) direkt tillämplig lag i alla EU:s medlemsländer och det finns mycket få möjligheter till lokal anpassning eller speciallösningar i respektive land (undantagen gäller främst myndigheters verksamhet och kulturella skillnader som när en registrerad ska räknas som vuxen).
Hur förhåller sig GDPR till annan lagstiftning?
Sveriges riksdag har genom medlemskapet i EU överlåtit en del av sin beslutandemakt till EU:s institutioner. Detta har skett i olika grad. Inom vissa områden, till exempel inom handels- och konkurrenspolitiken, får Sverige inte lagstifta över huvud taget. Där har EU så kallad exklusiv behörighet. Personuppgifter hamnar under Rättsliga och Inrikes frågor (närmare bestämt de grundläggande rättigheterna). Här gäller så kallad delad befogenhet (se artikel 4 i EUF-fördraget). Vid delad befogenhet kan medlemsländerna lagstifta, men endast om EU väljer att inte göra det. Från och med den 25 maj 2018 kan svensk lagstiftning alltså endast täcka in områden där GDPR inte gäller. Det finns områden där GDPR lämnat åt medlemsländerna att bestämma och där vi inväntar ett antal statliga utredningar och lagförslag, men det gäller främst personuppgifter i offentlig förvaltning. I vissa fall kommer vi också se skärningspunkter mot andra mänskliga rättigheter, som även EU är bundet av (till exempel tryckfriheten). Den som skriver en blogg kan exempelvis ansöka om ett utgivningsbevis och få helt andra möjligheter till behandling av personuppgifter i sitt publicerade material.

Personal data and covid-19

As we are in the middle of a global pandemic, we of course have to behave differently than we are used to. But what does it actually mean in relation to the GDPR? New situations create new questions regarding the collecting of personal data, e.g. what actually...

When is the GDPR applicable?

Now that the GDPR has been in force for two years, many companies have started to deepen their knowledge in specific parts of the regulation. It can therefore be easy to forget some of the more basic but fundamental parts such as: is the GDPR applicable to this...

Do we have to report all data breaches?

Personal data breach is a common word since the GDPR came into effect almost two years ago. It is important to have basic knowledge regarding personal data breaches and routines to be able to handle a potential data breach. Unfortunately, much of the information...

The Swedish Supervisory Authority’s annual report

If your business operates in Sweden, you have probably noticed that Datainspektionen is the Swedish Supervisory Authority. This means that Datainspektionen is responsible for monitoring compliance with GDPR (and other data protection laws) of Swedish companies,...

Regarding C-311:18: update to the case with the AG opinion

In this interesting case, previously covered in this blog post, Advocate General (AG) Henrik Saugmandsgaard Øe gave his opinion on the 19 of December 2019. In this blog post we will cover the most important aspects of the opinion, which might give some guidance in...

When are we the data processor?

When is our organization a data controller respectively a data processor? These terms can be hard to understand and get a grasp of, but it is important if you want to fulfil obligations in the GDPR. We at GDPR Hero receive many questions regarding the assessment...

Are we allowed to handle personal identity numbers?

A personal identity number is considered to be personal data, thus it shall be dealt with in accordance to GDPR and other complementary national legislation. You might deal with personal identity numbers in various situations; for example in email, salary slips,...

Data Protection Officer’s liability

According to the GDPR, it is either the data controller or the data processor that can be held liable if the regulation is not followed. This is in most cases a legal person. In this blog post we will examine if only these actors can be held liable or if, in...

Are you controlling your virtual identity?

Many companies (e.g. social media platforms and email providers) have as a large component of their business model to collect your personal data and share it with third parties. They are using the personal data they get from your public profile on their online...

Standard contractual clauses and GDPR

In chapter V in the GDPR you will find a special regulatory framework which regulates transfer of data to third countries. A third country is a country outside of EU/EEA. To transfer personal data to a third country you will need a legal ground for it in conformity...

Pseudonymization and anonymization of personal data

Many companies want to retain information in order to keep statistics, which often requires information to be stored for a long time. By pseudonymizing or anonymizing the personal data, you create a safer processing, which may even fall outside the scope and applicability of the GDPR. However, there are high requirements for a personal data to be considered anonymous. In this blog post we go deeper into what anonymization and pseudonymization means.

Guidance regarding e-mail and the GDPR

I dagens samhälle är det vanligt att ens arbetsmejl innehåller flertalet personuppgifter och olika typer av behandlingar. Vi får många frågor kring hur e-postmeddelande ska hanteras enligt GDPR. Därför beskriver vi i detta blogginlägg hur ni kan hantera er e-post på ett GDPR-smart sätt!

What is a legitimate interest and when can we rely on one?

Even if you have not entered into a contract with an individual or collected the individuals consent there is sometimes an opportunity to process his/her personal data anyways. The legal ground this form of processing is based on is called “legitimate interest”,...

What is a Data Sharing Agreement, really?

I detta blogginlägg kommer vi informera om ett annat GDPR-avtal – ett s.k datadelningsavtal. Vi kommer reda ut när det behövs och hur det ska utformas.

Till skillnad från ett personuppgiftsbiträdesavtal, är alla parter i ett datadelningsavtal personuppgiftsansvariga och bestämmer tillsammans ändamål och medel med personuppgiftsbehandlingen.

Right of access – if someone requests their personal data

GDPR entails a right for the person whose data is being processed by an organisation to request access to their data. This is the so called “right of access”. You might also have heard about “extraction from the record of processing activities”. However, the right...

Rätten till tillgång - om någon begär ut sina personuppgifter

Am I not allowed to note that an employee has reported sick!?

Det är enligt artikel 9.1 GDPR förbjudet att hantera uppgifter om en persons hälsa. Nu kanske du tänker att ”Oj, ska vi inte få skriva upp att en anställd sjukanmält sig!?”. Så är det inte riktigt. Förbudet mot att hantera uppgifter om en persons hälsa är en utgångspunkt, det finns flera användbara undantag till förbudet.

10 important concepts within the GDPR!

The General Data Protection Regulation contributes with a lot of new, and sometimes difficult, concepts that are of course not explaining themselves. We will in this article go through and clarify some of the most important concepts in the regulation which are good...

Want to get help with GDPR right now?

Share This