PUL - GDPR

Personuppgiftslagen

Här hittar du mer information om rättigheter inom ramen för personuppgiftslagen

De registrerades rättigheter

Vem är ansvarig för de personuppgifter vi behandlar?
Sveriges filmförbund, org. nr 802441-0170 med adress Gröna gatan 14a, 151 32 Södertälje är personuppgiftsansvarig för föreningens behandling av personuppgifter. Du kan ej besöka oss på denna adress.

Vilka personuppgifter behandlar vi, i vilket ändamål (varför) och på vilken laglig grund?
Ändamål
För att kunna administrera ert medlemskap och skicka relevant information samt för att redovisa medlemsstatistik till våra bidragsgivare.
Behandlingar som utförs
• Upprätthållandet av korrekta och uppdaterade uppgifter.
• Skicka relevant information och erbjudanden
Kategorier av personuppgifter
• Förnamn och efternamn
• Kontaktuppgifter (t.ex., adress, e-post och telefonnummer)
• Ålder och kön
Laglig grund: Fullgörande av avtal
Lagringsperiod: Till dess att medlemskapet avslutas och en tid därefter.
Anmärkning: Enligt skäl 14 till Dataskyddsförordningen så omfattar den inte behandling av personuppgifter rörande juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter. Den behandling av personuppgifter som rör medlemsregistret inklusive kontaktuppgifter till medlemmen (företaget) kan därför falla utanför Dataskyddsförordningens tillämpningsområde.

Varifrån hämtar vi dina personuppgifter?
Inga andra källor används utöver de uppgifter du själv lämnar till oss.
Anmälningar om påstått otillbörlig marknadsföring innehåller normalt inte de personuppgifter som enligt skäl 14 omfattas av GDPR.

Vilka kan vi komma att dela dina personuppgifter med?
Vi delar inte ut dina personuppgifter till någon annan. Vi redovisar följande medlemsstatistik till våra bidragsgivare:
• Antal manliga medlemmar
• Antal kvinnliga medlemmar
• Antal medlemmar med annat kön
• Antal medlemmar i regioner
• Antal ungdomar
Information till er kan komma från annan källa, men enbart genom Sveriges filmförbund.

Var behandlar vi dina personuppgifter?
Vi strävar alltid efter att dina personuppgifter ska behandlas inom EU/EES och alla våra egna IT-system finns inom EU/EES.

De registrerades rättigheter
De personer vars personuppgifter behandlas, de registrerade, har ett antal rättigheter enligt dataskyddsförordningen. Dessa rättigheter innebär i korthet att de registrerade ska få infor­ma­tion om när och hur deras personuppgifter behandlas och ha kontroll över sina egna upp­gifter. Därför har de bland annat rätt att i vissa fall få sina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta sina uppgifter. De registrerades rättigheter har utökats, förstärkts och specificerats i dataskyddsförordningen jämfört med den nuvarande person­upp­gifts­lagen. Mer information om rättigheterna finns här nedan.

Rätt till information
Den registrerade har rätt att få information när hans eller hennes personuppgifter behand­las. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Därutöver finns det vissa tillfällen när särskild information ska ges till den registrerade, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personupp­giftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskydds­förordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen.

Rätt till rättelse
Varje person har rätt att vända sig till ett företag eller myndighet som behandlar personupp­gifter och be att få felaktiga uppgifter rättade. Det innebär också att den enskilde har rätt att komplettera med sådana personuppgifter som saknas och som är relevanta med hänsyn till ändamålet med personuppgiftsbehandlingen.

Rätt till radering
Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar person­uppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
  • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas

Om uppgifter raderas på den enskildes begäran måste företaget eller myndigheten också in­formera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.

Rätt till begränsning av behandling
Enskilda har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

Dataportabilitet
Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till data­portabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter.

Rätt att göra invändningar
En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter.

Om den enskilde invänder mot behandlingen i sådana fall får den personuppgiftsansvarige endast fortsätta att behandla uppgifterna om det går att visa att det finns tvingande berätti­gade skäl till att uppgifterna måste behandlas som väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.

Automatiserat beslutsfattande, inbegripet profilering
Den enskilde har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.

Den personuppgiftsansvarige måste informera de registrerade om att automatiserat besluts­fattande används enligt den generella informationsskyldigheten i förordningen.

Profilering innebär varje form av auto­matisk behandling av personuppgifter då uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga personens arbets­prestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

Klagomål hantering
Den registrerade kan skicka in tips och klagomål till Datainspektionen om denne anser att någon bryter mot reglerna för personuppgiftsbehandling. När dataskyddsförordningen börjar gälla den 25 maj kommer det att finnas en e-tjänst för det här på Datainspektionens webbplats.

Skadestånd
En person som har lidit skada på grund av att hans eller hennes personuppgifter har be­handlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.

Rättsliga grunder för behandling av personuppgifter

För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund:
• Rättslig förpliktelse för Personuppgiftsansvarig
• Fullgörelse av ett avtal mellan Personuppgiftsansvarig och Registrerad
• Efter en intresseavvägning hos Personuppgiftsansvarig
• Samtycke från den registrerade
• Skydda den registrerades grundläggande intressen
• Fullgöra en uppgift av allmänt intresse
• Myndig¬hetsutövning

Rättslig förpliktelse för Personuppgiftsansvarig
Här har Personuppgiftsansvarig stöd i författning för sin behandling av den registrerades personuppgifter. Det kan vara att en lag med tillhörande föreskrift reglerar att vissa upp-gifter måste registreras och kommuniceras för att den personuppgiftsansvarige ska kunna uppfylla sina skyldigheter och bevaka den registrerades rättigheter.

Fullgörelse av ett avtal mellan Personuppgiftsansvarig och Registrerad
Här har Personuppgiftsansvarig stöd för sin behandling i konstaterandet att de person-uppgifter som samlas in och behandlas, för angivet ändamål, behövs för att kunna fullgöra avtalet med den registrerade.

Efter en intresseavvägning hos Personuppgiftsansvarig
Den personuppgiftsansvariges berättigade intresse av att registrera och behandla person-uppgiften, enligt angivet ändamål, väger här tyngre än risken för en kränkning av den registrerades integritet.

Samtycke från den registrerade
Här har den personuppgiftsansvarige inhämtat ett samtycke från den registrerade, att registrera och behandla personuppgiften för angivet ändamål.

Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Möjligheten att behandla personuppgifter begränsas av de grundläggande principerna för behandling av personuppgifter.

Principer för behandling av personuppgifter
All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen.

Laglighet, korrekthet och öppenhet
Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Ändamålsbegränsning
Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ända-mål.

Uppgiftsminimering
Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, rele-vanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.

Korrekthet
Personuppgifterna ska vara korrekta och uppdaterade.

Lagringsminimering
Personuppgifter får inte sparas, det vill säga förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

Integritet och konfidentialitet
Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

Säkerhet för personuppgifter
Den som behandlar personuppgifter måste se till att ha en lämplig säkerhetsnivå för uppgift-erna, både tekniskt och organisatoriskt.

Ansvarsskyldighet
Den som behandlar personuppgifter måste ansvara för att kunna visa på vilket sätt man följer regelverket.