Introduktion

Dataskyddsdirektivet innehåller allmänna föreskrifter för bearbetning av personuppgifter i EU. Föreskrifterna i direktivet har implementerats i lokal lagstiftning inom EU och EES, och verkställs av varje medlemsstat.

I egenskap av att vara den entitet som definierar syftet och användningen av enkäter, paneler och communities betraktas Questbacks kunder som "registeransvariga" enligt direktivet och är således ansvariga för att data bearbetas i enlighet med direktivet.

Syftet med detta dokument är att ge en översikt över den registeransvariges allmänna skyldigheter enligt direktivet. Dokumentet ska inte betraktas som en uttömmande förteckning över den registeransvariges skyldigheter, och det behandlar inte lokal lagstiftning.

Definitioner

Villkoren häri definieras som i direktivet:

Den registrerade: en identifierad eller identifierbar fysisk person, där en identifierbar person är en som kan identifieras direkt eller indirekt, särskilt med hänvisning till ett identifikationsnummer eller en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. I praktiken respondenterna, paneldeltagarna och communitymedlemmarna.

Personuppgifter: all information avseende den registrerade

Bearbetning: varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, anpassning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Bearbetning får endast ske i enlighet med syftet.

Registeransvarig: den fysiska eller juridiska person, myndighet, byrå eller annat organ som ensam eller gemensamt med andra bestämmer syftet och sättet att bearbeta personuppgifter. För enkäter som initieras av en kund, eller på kundens vägnar, är kunden registeransvarig enligt direktivet.

Registerförare: en fysisk eller juridisk person, offentlig myndighet, byrå eller något annat organ som bearbetar personuppgifter på registeransvarigs vägnar. Eftersom Questbacks program- och lagringsområden kan användas för att bearbeta personuppgifter är Questback registerförare för sin kund när kunden använder Questbacks programvara för att bearbeta personuppgifter.

Medgivande från Den registrerade

Enligt direktivet är bearbetning av personuppgifter endast legitimt om ett av följande krav uppfylls. För enkäter är det relevanta kravet i de flesta fall samtycke från den registrerade. De krav som ställs på sådant samtycke presenteras nedan.

När ett sådant samtycke har mottagits kan personuppgifter bearbetas enligt bestämmelserna i direktivet. Denna översikt innehåller inte en förteckning av dessa förordningar.

Registeransvarig är skyldig att få den registrerades samtycke innan någon bearbetning av personuppgifter utförs. Detaljer om kraven på samtycke beskrivs nedan:

Samtycket måste vara:

  • Frivilligt: samtycke måste ges av fri vilja, det får inte ges under någon form av påtryckning eller otillbörlig övertalning. Vidare skall den registrerade när som helst ha möjlighet att dra tillbaka sitt samtycke.
  • Specifikt: samtycket måste tillhandahållas specifikt av den registrerade. Detta innebär att den registrerade aktivt och entydigt måste godkänna att uppgifterna bearbetas.
  • Informerat: samtycket måste tas emot efter det att den registrerade har fått information enligt nedan.
  • Otvetydigt: det medgivna samtycket måste tydligt relatera till bestämmelsen och uppgifterna som beskrivs i informationen så att det inte finns några tvivel om vad samtycket omfattar.

Informationen måste:

  • Levereras senast vid insamlingen av uppgifterna: för uppgifter som samlas in genom en enkät innebär det att information måste ges i början av enkäten innan några uppgifter lämnas.
  • Om personuppgifterna är en e-postadress eller ett telefonnummer som redan samlats in innan en undersökning påbörjas, ska informationen ha lämnats vid insamlingstillfället, men måste lämnas igen senast innan enkäten påbörjas.
  • De uppgifter som bearbetas ska ingå i information som ges: för enkäter, communities och diskussionspaneler är de insamlade uppgifterna i många fall de uppgifter som den registrerade tillhandahåller. Om ytterligare uppgifter samlas in, måste typen av sådan data och källan för insamling registreras.
  • Inkludera registeransvarig och dess företrädares identitet: i identiteten ingår juridiskt namn och adress. Vidare måste den registrerade informeras om registerförare, i detta fall Questback.
  • Inkludera syftet med bearbetningen av uppgifterna: en av de grundläggande delarna av bearbetning i direktivet är att registeransvarig inte får använda personuppgifter för andra ändamål än dem som specifikt omfattas av samtycket. Det är därför viktigt att syftet är en tillräckligt detaljerad beskrivning av anledningen till att uppgifterna bearbetas. Syftet måste anges, tydligt och legitimt.
  • Det är viktigt att notera att ingen användning av data utöver det informerade syftet är godkänt enligt direktivet. Om uppgifterna bearbetas för ett nytt syfte eller ett för ett annat ändamål än det angivna syftet krävs ett nytt samtycke. Om registeransvarig planerar att behålla personuppgifter efter avslutad enkät måste detta därför inkluderas i det beskrivna syftet.
  • Inkludera huruvida uppgifterna kommer att exponeras för tredje part och i så fall dessas identitet: information om användningen av registerförare är relevant i detta avsnitt.
  • Inkludera information om att det är frivilligt att lämna uppgifter: tillhandahållande av data är frivillig, och informationen måste tydligt ange detta för de registrerade.
  • Inkludera annan relevant information som gör det möjligt för de registrerade att utöva sina rättigheter: den registrerade har rätt att få information om vilka uppgifter som lagras om henne/honom, och i vissa fall ges åtkomst för korrigering och radering av personuppgifter. För att säkerställa att sådana rättigheter kan utövas måste registeransvarig tillhandahålla information om möjligheterna. Registeransvarig måste tillhandahålla sådan information med hänsyn till de specifika omständigheterna i varje enkät/diskussionspanel/community.
  • Det rekommenderas att i inkludera i informationen att uppgifterna ska raderas när syftet är uppfyllt och att registeransvarig kommer att korrigera eventuella felaktiga uppgifter vid behov.
  • Inkludera information om dataöverföring: den registrerade måste informeras om att uppgifterna ska överföras. Questback lagrar inte data utanför EU/EES-området om det inte enligt avtal krävs av kunden.