SQLite format 3@ F 8F.Š ò ß 3 ߁ƒatablemainmainCREATE TABLE main ( id INTEGER PR>‚_tablemainmainCREATE TABLE "main" ( "ID" INTEGER, "kategori" TEXT, "rubrik" TEXT, "frĂ„ga" TEXT, "Mognad" INTEGER, "Konsekvens" INTEGER, "vĂ€rdetot" REAL, "brist" TEXT )P++Ytablesqlite_sequencesqlite_sequenceCREATE TABLE sqlite_sequence(name,seq)AƒitablepersonerpersonerCREATE TABLE personer ( J‚gtablepersonerpersonerCREATE TABLE "personer" ( "ID" INTEGER, "kategori" TEXT, "rubrik" TEXT, "frĂ„ga" TEXT, "Mognad" INTEGER, "Konsekvens" INTEGER, "vĂ€rdetot" REAL, "brist" TEXT )öûö  B gJ@œËé!Òń«‚C aƒTekniska skydd – Kryptering, pseudonymisering, Ă„tkomstkontroller.Utan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns en tydlig strategi som har implementertas gĂ€llande teknisk skydd (t.ex. kryptering, pseudonymisering), vidare kontroll av Ă„tkomst och tilldelning av behörighet till aktuella personuppgifter?^ %g;Informera vid datalĂ€ckor – Till bĂ„de registrerade och tillsynsmyndighet.Fördröjd information kan förvĂ€rra skadan.Har ni rutiner för att informera registrerade och tillsynsmyndigheten vid datalĂ€ckor?‚L geƒYAutomatiserat beslutsfattande och profileringIndivider kan inte utöva sina rĂ€ttigheter.Om ni anvĂ€nder automatiserat beslutsfattande eller profilering som pĂ„verkar registrerade (t.ex. kreditbedömning, rekrytering)? Har ni informerat registrerade om detta och sĂ€kerstĂ€llt deras rĂ€tt att fĂ„ mĂ€nsklig inblandning?E k  Integritetspolicy – Tydlig, lĂ€ttförstĂ„elig och tillgĂ€nglig.Bristande information underminerar transparens.Är er integritetspolicy tydlig, lĂ€ttförstĂ„elig och lĂ€ttillgĂ€nglig?_ _W Bedömning av berĂ€ttigat intresse – Om detta anvĂ€nds som grund.Risk för obalanserad intresseavvĂ€gning.Har ni gjort en djuplĂ€ggande bedömning av berĂ€ttigat intresse om det anvĂ€nds som rĂ€ttslig grund?N #q Möjlighet att Ă„terkalla samtycke – Enkelt och tydligt för anvĂ€ndaren.KrĂ€nker individens kontroll över sina uppgifter.Finns det en enkel och tydlig process för att Ă„terkalla samtycke?! U{  Dokumentera samtycke – Bevis pĂ„ att samtycke har getts.SvĂ„rt att bevisa laglig behandling.Dokumenterar ni att samtycke har getts av registrerade?‚ w‚% Ansvarsskyldighet – Kunna visa att ni följer GDPR.OförmĂ„ga att visa efterlevnad kan leda till sanktioner.Kan ni visa att ni följer GDPR (exempelvis vid en granskning av IMY), exempelvis genom dokumentation, skyddsrutiner och interna kontroller?‚ )]‚9Integritet och konfidentialitet – Skydda uppgifterna mot obehörig Ă„tkomst.Direkt risk för dataintrĂ„ng och skada.Finns tekniska och organisatoriska Ă„tgĂ€rder för att skydda personuppgifter mot obehörig Ă„tkomst enligt faststĂ€llt skyddsvĂ€rde för uppgifterna?X e?Lagringsminimering – Spara inte uppgifter lĂ€ngre Ă€n nödvĂ€ndigt.Onödig lagring ökar risk för datalĂ€ckor.Är du tydliggjort hur lĂ€nge sparar ni personuppgifter, och beslutat nĂ€r de ska raderasU y7Riktighet – Uppgifterna ska vara korrekta och uppdaterade.Felaktiga uppgifter kan skada individers rĂ€ttigheter.Finns rutiner och processer för att hĂ„lla personuppgifter korrekta och uppdaterade?X  w9Uppgiftsminimering – Samla inte in mer data Ă€n nödvĂ€ndigt.Ökar risken för dataintrĂ„ng och överflödig data.SĂ€kerstĂ€ller ni att ni inte samlar in mer data Ă€n vad som Ă€r absolut nödvĂ€ndigt?‚ s‚ ÄndamĂ„lsbegrĂ€nsning – Samla bara in uppgifter för specifika syftenRisk för otillĂ„ten sekundĂ€r anvĂ€ndning av data.Samlar ni endast in personuppgifter för specifika, tydligt definierade Ă€ndamĂ„l och Ă€r Ă€ndamĂ„len/syften Ă€r dokumenterade?‚ wTransparens – Informera tydligt om hur personuppgifter anvĂ€nds.Brist pĂ„ insyn underminerar förtroende och rĂ€ttigheter.Informerar ni tydligt och lĂ€ttförstĂ„eligt om hur personuppgifter samlas in, varför de anvĂ€nds och hur de lagras?‚ /}‚RĂ€ttvisa – Behandlingen fĂ„r inte vara diskriminerande eller oproportionerlig.Kan leda till diskriminering och rĂ€ttsliga pĂ„följder.Har ni sĂ€kerstĂ€llt att behandlingen av personuppgifter sker pĂ„ ett rĂ€ttvist, oproportionerligt och icke-diskriminerande sĂ€tt?_ Km‚ !Laglighet – RĂ€ttslig grund.Utan rĂ€ttslig grund Ă€r all behandling olaglig.Har ni identifierat och dokumenterar rĂ€ttslig grund (samtycke, avtal, rĂ€ttslig förpliktelse etc.) för varje behandling? ó  personer Ű ł § “ ŻÍéĂ°(=l) ہh %g;Informera vid datalĂ€ckor – Till bĂ„de registrerade och tillsynsmyndighet.Fördröjd information kan förvĂ€rra skadan.Har ni rutiner för att informera registrerade och tillsynsmyndigheten vid datalĂ€ckor?!Betydande‚U geƒYAutomatiserat beslutsfattande och profileringIndivider kan inte utöva sina rĂ€ttigheter.Om ni anvĂ€nder automatiserat beslutsfattande eller profilering som pĂ„verkar registrerade (t.ex. kreditbedömning, rekrytering)? Har ni informerat registrerade om detta och sĂ€kerstĂ€llt deras rĂ€tt att fĂ„ mĂ€nsklig inblandning?MĂ„ttligN k  Integritetspolicy – Tydlig, lĂ€ttförstĂ„elig och tillgĂ€nglig.Bristande information underminerar transparens.Är er integritetspolicy tydlig, lĂ€ttförstĂ„elig och lĂ€ttillgĂ€nglig?MĂ„ttligh _W Bedömning av berĂ€ttigat intresse – Om detta anvĂ€nds som grund.Risk för obalanserad intresseavvĂ€gning.Har ni gjort en djuplĂ€ggande bedömning av berĂ€ttigat intresse om det anvĂ€nds som rĂ€ttslig grund? MĂ„ttligW #q Möjlighet att Ă„terkalla samtycke – Enkelt och tydligt för anvĂ€ndaren.KrĂ€nker individens kontroll över sina uppgifter.Finns det en enkel och tydlig process för att Ă„terkalla samtycke?MĂ„ttlig+ U{  Dokumentera samtycke – Bevis pĂ„ att samtycke har getts.SvĂ„rt att bevisa laglig behandling.Dokumenterar ni att samtycke har getts av registrerade?8Allvarlig‚ w‚% Ansvarsskyldighet – Kunna visa att ni följer GDPR.OförmĂ„ga att visa efterlevnad kan leda till sanktioner.Kan ni visa att ni följer GDPR (exempelvis vid en granskning av IMY), exempelvis genom dokumentation, skyddsrutiner och interna kontroller?MĂ„ttlig‚# )]‚9Integritet och konfidentialitet – Skydda uppgifterna mot obehörig Ă„tkomst.Direkt risk för dataintrĂ„ng och skada.Finns tekniska och organisatoriska Ă„tgĂ€rder för att skydda personuppgifter mot obehörig Ă„tkomst enligt faststĂ€llt skyddsvĂ€rde för uppgifterna?MĂ„ttliga e?Lagringsminimering – Spara inte uppgifter lĂ€ngre Ă€n nödvĂ€ndigt.Onödig lagring ökar risk för datalĂ€ckor.Är du tydliggjort hur lĂ€nge sparar ni personuppgifter, och beslutat nĂ€r de ska raderasMĂ„ttlig_ y7Riktighet – Uppgifterna ska vara korrekta och uppdaterade.Felaktiga uppgifter kan skada individers rĂ€ttigheter.Finns rutiner och processer för att hĂ„lla personuppgifter korrekta och uppdaterade?Betydandea  w9Uppgiftsminimering – Samla inte in mer data Ă€n nödvĂ€ndigt.Ökar risken för dataintrĂ„ng och överflödig data.SĂ€kerstĂ€ller ni att ni inte samlar in mer data Ă€n vad som Ă€r absolut nödvĂ€ndigt?MĂ„ttlig‚ s‚ ÄndamĂ„lsbegrĂ€nsning – Samla bara in uppgifter för specifika syftenRisk för otillĂ„ten sekundĂ€r anvĂ€ndning av data.Samlar ni endast in personuppgifter för specifika, tydligt definierade Ă€ndamĂ„l och Ă€r Ă€ndamĂ„len/syften Ă€r dokumenterade?8Allvarlig‚  wTransparens – Informera tydligt om hur personuppgifter anvĂ€nds.Brist pĂ„ insyn underminerar förtroende och rĂ€ttigheter.Informerar ni tydligt och lĂ€ttförstĂ„eligt om hur personuppgifter samlas in, varför de anvĂ€nds och hur de lagras?MĂ„ttlig‚" /}‚RĂ€ttvisa – Behandlingen fĂ„r inte vara diskriminerande eller oproportionerlig.Kan leda till diskriminering och rĂ€ttsliga pĂ„följder.Har ni sĂ€kerstĂ€llt att behandlingen av personuppgifter sker pĂ„ ett rĂ€ttvist, oproportionerligt och icke-diskriminerande sĂ€tt?MĂ„ttligFaƒTekniska skydd – Kryptering, pseudonymisering, Ă„tkomstkontroller.Utan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns en tydlig strategi som har implementertas gĂ€llande teknisk skydd (t.ex. kryptering, pseudonymisering), vidare kontroll av Ă„tkomst och tilldelning av behörighet till aktuella personuppgifter?_ Km‚ Laglighet – RĂ€ttslig grund.Utan rĂ€ttslig grund Ă€r all behandling olaglig.Har ni identifierat och dokumenterar rĂ€ttslig grund (samtycke, avtal, rĂ€ttslig förpliktelse etc.) för varje behandling?dAllvarlig ë Š±Šű Û È ” è  EšąßSA! {KI!RĂ€tt till rĂ€ttelse – Korrigera felaktiga uppgifter.Felaktig data kan orsaka skada.Hanterar verksamheten begĂ€ran om rĂ€ttelse av felaktiga uppgifter enligt fastslagna rutiner?x  W‚ RĂ€tt till tillgĂ„ng – FĂ„ veta vilka uppgifter som behandlas.Individer förlorar insyn i sin data.Möjliggör ni att registrerade fĂ„r tillgĂ„ng till sina personuppgifter via av organisationen faststĂ€llda, dokumenterade processer?J WCInterna riktlinjer och utbildning – För alla medarbetare.Ökar risken för mĂ€nskliga misstag.Finns det interna uppdaterade riktlinjer och utbildningar för medarbetare kring dataskydd?@ ]Avtal med personuppgiftsbitrĂ€den – Tydliga och juridiskt bindande.Utan avtal Ă€r ansvarsfördelning oklar.Har ni juridiskt bindande avtal med alla era personuppgiftsbitrĂ€den?x ‚ sa‚7Tekniska skydd – Kryptering av data kommunikationUtan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns teknisk skydd gĂ€llande datakommunikation, datalagring (sĂ„som SSL och HTTPS för interna eller externa tjĂ€nster som hanterar personuppgifter?MĂ„ttlig‚L aƒTekniska skydd – Kryptering, pseudonymisering, Ă„tkomstkontroller.Utan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns en tydlig strategi som har implementertas gĂ€llande teknisk skydd (t.ex. kryptering, pseudonymisering), vidare kontroll av Ă„tkomst och tilldelning av behörighet till aktuella personuppgifter?MĂ„ttligh %g;Informera vid datalĂ€ckor – Till bĂ„de registrerade och tillsynsmyndighet.Fördröjd information kan förvĂ€rra skadan.Har ni rutiner för att informera registrerade och tillsynsmyndigheten vid datalĂ€ckor?!BetydandeŻsayDataskyddsombud (DPO) – Om det krĂ€vs enligt lag.Brist pĂ„ expertis vid komplex behandling.Har ni utsett ett dataskyddsombud (DPO) om det krĂ€vs?ž{]3( sayDataskyddsombud (DPO) – Om det krĂ€vs enligt lag.Brist pĂ„ expertis vid komplex behandling.Har ni utsett ett dataskyddsombud (DPO) om det krĂ€vs?MĂ„ttligI {]3Register över behandlingar – Enligt artikel 30 GDPR.KrĂ€vs för tillsyn och intern kontroll.Har ni ett register över alla personuppgiftsbehandlingar enligt artikel 30 i GDPR?Betydande{ g‚Distribuerade applikationer och webbtjĂ€nsterBrist pĂ„ insyn underminerar förtroende och rĂ€ttigheter.Har verksamheten implementerat integritetspolicyn i distribuerade applikationer/appar och webbtjĂ€nster (Ă€ven cookiebanner)?MĂ„ttligV  OM Incidenthantering – Plan för dataintrĂ„ng och rapportering.FörsĂ€mrad respons vid intrĂ„ng.Finns en plan, faststĂ€llda rutiner och en organisation för incidenthantering vid dataintrĂ„ng?dAllvarligJ  Y)Risk- och sĂ„rbarhetsanalys – Identifiera och hantera risker.SvĂ„rt att förebygga hot utan analys.Har ni genomfört risk- och sĂ„rbarhetsanalyser för personuppgiftsbehandling?MĂ„ttlig‚ O ‚?Klassificering av personuppgifterKrĂ€vs för att kunna bedöma skyddvĂ€rde och skyddsĂ„tgĂ€rder.Har verksamheten klassificerat de personuppgifter man behandlar vanilga personuppgifter,sĂ€rskilt skyddade personuppgifter,kĂ€nsliga personuppgifter mfl. MĂ„ttlig‚ o‚Organisatoriska skydd – Rutiner, utbildning, ansvarsfördelning.Bristande rutiner ökar risken för felhantering.Har verksamheten implementerat organisatoriska skydd (t.ex. utbildning, tydliggjort ansvarsfördelning) för att skydda informationen?MĂ„ttlig‚ C‚gTestmiljöer och utvecklingUtan kontroll över testmiljöer riskerar data att lĂ€cka.On anvĂ€nder ni personuppgifter i test- eller utvecklingsmiljöer? Har ni sĂ€kerstĂ€llt att dessa miljöer Ă€r isolerade och att data Ă€r anonymiserad eller pseudonymiserad?Betydande‚ Ma‚UTekniska skydd – DistansarbeteUtan skydd Ă€r data sĂ„rbar för intrĂ„ng.Har ni rutiner för dataskydd vid distansarbete (t.ex. kryptering, VPN, policy för enheter) och finns det riktlinjer för anvĂ€ndning av privata enheter i arbetet?Betydande  Û”   4 ^ZÛ 0 Zé!Òń«‚C aƒTekniska skydd – Kryptering, pseudonymisering, Ă„tkomstkontroller.Utan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns en tydlig strategi som har implementertas gĂ€llande teknisk skydd (t.ex. kryptering, pseudonymisering), vidare kontroll av Ă„tkomst och tilldelning av behörighet till aktuella personuppgifter?^ %g;Informera vid datalĂ€ckor – Till bĂ„de registrerade och tillsynsmyndighet.Fördröjd information kan förvĂ€rra skadan.Har ni rutiner för att informera registrerade och tillsynsmyndigheten vid datalĂ€ckor?‚L geƒYAutomatiserat beslutsfattande och profileringIndivider kan inte utöva sina rĂ€ttigheter.Om ni anvĂ€nder automatiserat beslutsfattande eller profilering som pĂ„verkar registrerade (t.ex. kreditbedömning, rekrytering)? Har ni informerat registrerade om detta och sĂ€kerstĂ€llt deras rĂ€tt att fĂ„ mĂ€nsklig inblandning?E k  Integritetspolicy – Tydlig, lĂ€ttförstĂ„elig och tillgĂ€nglig.Bristande information underminerar transparens.Är er integritetspolicy tydlig, lĂ€ttförstĂ„elig och lĂ€tW" iUi"RĂ€tt till radering ("rĂ€tten att bli glömd")Individer kan inte ta bort sin data.Hanterar verksamheten registrerades begĂ€ran om radering ("rĂ€tten att bli glömd") enligt fastslagna rutiner?Betydande‚   u‚Identifiera personuppgiftbitrĂ€de eller personuppgiftsansvarigPersonuppgifter mĂ„ste behandlas beroende av ansvar.Har verksamheten identifiera om ni agerar som personuppgiftbitrĂ€de eller personuppgiftsansvarig för verksamhetens IT-tjĂ€nster?MĂ„ttlig rË{KI!RĂ€tt till rĂ€ttelse – Korrigera felaktiga uppgifter.Felaktig data kan orsaka skada.Hanterar verksamheten begĂ€ran om rĂ€ttelse av felaktiga uppgifter enligt fastslagna rutiner?ԁ J! {KI!RĂ€tt till rĂ€ttelse – Korrigera felaktiga uppgifter.Felaktig data kan orsaka skada.Hanterar verksamheten begĂ€ran om rĂ€ttelse av felaktiga uppgifter enligt fastslagna rutiner?MĂ„ttlig‚  W‚ RĂ€tt till tillgĂ„ng – FĂ„ veta vilka uppgifter som behandlas.Individer förlorar insyn i sin data.Möjliggör ni att registrerade fĂ„r tillgĂ„ng till sina personuppgifter via av organisationen faststĂ€llda, dokumenterade processer?MĂ„ttligS WCInterna riktlinjer och utbildning – För alla medarbetare.Ökar risken för mĂ€nskliga misstag.Finns det interna uppdaterade riktlinjer och utbildningar för medarbetare kring dataskydd?MĂ„ttligJ ]Avtal med personuppgiftsbitrĂ€den – Tydliga och juridiskt bindande.Utan avtal Ă€r ansvarsfördelning oklar.Har ni juridiskt bindande avtal med alla era personuppgiftsbitrĂ€den?Betydande‚ #ioDataskyddsbedömning (DPIA) – Vid hög risk för individers rĂ€ttigheter.Högriskbehandling utan bedömning Ă€r farlig.Genomför ni dataskyddsbedömningar (DPIA) enligt fastlagda rutiner och kriterier vid behandlingar med hög risk?!Betydande‚Q GGƒ Överföring till tredje landÖverföring av personuppgifter till tredje land mĂ„ste utföras enligt faststĂ€lla principerOm ni överför ni personuppgifter till lĂ€nder utanför EU/EES? Har ni sĂ€kerstĂ€llt att överföringen sker enligt GDPR (t.ex. genom standardavtalsklausuler, beslut om adekvat skyddsnivĂ„)?Betydande% %nonenonenoneŸ YC$RĂ€tt att invĂ€nda mot behandling (vid direktmarknadsföring).SĂ€rskilt viktigt vid marknadsföring.Kan verksamheten hantera invĂ€ndningar mot behandling, sĂ€rskilt vid direktV$  YC$RĂ€tt att invĂ€nda mot behandling (vid direktmarknadsföring).SĂ€rskilt viktigt vid marknadsföring.Kan verksamheten hantera invĂ€ndningar mot behandling, sĂ€rskilt vid direktmarknadsföring?MĂ„ttligt# ie#RĂ€tt till dataportabilitet – Flytta uppgifter till annan aktör.BegrĂ€nsar individens kontroll över sin data.Kan registrerade enkelt flytta sina uppgifter till en annan aktör (dataportabilitet) om detta Ă€r aktuellt? MĂ„ttligö ûö  B gJ@œËé!Òń«‚C aƒTekniska skydd – Kryptering, pseudonymisering, Ă„tkomstkontroller.Utan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns en tydlig strategi som har implementertas gĂ€llande teknisk skydd (t.ex. kryptering, pseudonymisering), vidare kontroll av Ă„tkomst och tilldelning av behörighet till aktuella personuppgifter?^ %g;Informera vid datalĂ€ckor – Till bĂ„de registrerade och tillsynsmyndighet.Fördröjd information kan förvĂ€rra skadan.Har ni rutiner för att informera registrerade och tillsynsmyndigheten vid datalĂ€ckor?‚L geƒYAutomatiserat beslutsfattande och profileringIndivider kan inte utöva sina rĂ€ttigheter.Om ni anvĂ€nder automatiserat beslutsfattande eller profilering som pĂ„verkar registrerade (t.ex. kreditbedömning, rekrytering)? Har ni informerat registrerade om detta och sĂ€kerstĂ€llt deras rĂ€tt att fĂ„ mĂ€nsklig inblandning?E k  Integritetspolicy – Tydlig, lĂ€ttförstĂ„elig och tillgĂ€nglig.Bristande information underminerar transparens.Är er integritetspolicy tydlig, lĂ€ttförstĂ„elig och lĂ€ttillgĂ€nglig?_ _W Bedömning av berĂ€ttigat intresse – Om detta anvĂ€nds som grund.Risk för obalanserad intresseavvĂ€gning.Har ni gjort en djuplĂ€ggande bedömning av berĂ€ttigat intresse om det anvĂ€nds som rĂ€ttslig grund?N #q Möjlighet att Ă„terkalla samtycke – Enkelt och tydligt för anvĂ€ndaren.KrĂ€nker individens kontroll över sina uppgifter.Finns det en enkel och tydlig process för att Ă„terkalla samtycke?! U{  Dokumentera samtycke – Bevis pĂ„ att samtycke har getts.SvĂ„rt att bevisa laglig behandling.Dokumenterar ni att samtycke har getts av registrerade?‚ w‚% Ansvarsskyldighet – Kunna visa att ni följer GDPR.OförmĂ„ga att visa efterlevnad kan leda till sanktioner.Kan ni visa att ni följer GDPR (exempelvis vid en granskning av IMY), exempelvis genom dokumentation, skyddsrutiner och interna kontroller?‚ )]‚9Integritet och konfidentialitet – Skydda uppgifterna mot obehörig Ă„tkomst.Direkt risk för dataintrĂ„ng och skada.Finns tekniska och organisatoriska Ă„tgĂ€rder för att skydda personuppgifter mot obehörig Ă„tkomst enligt faststĂ€llt skyddsvĂ€rde för uppgifterna?X e?Lagringsminimering – Spara inte uppgifter lĂ€ngre Ă€n nödvĂ€ndigt.Onödig lagring ökar risk för datalĂ€ckor.Är du tydliggjort hur lĂ€nge sparar ni personuppgifter, och beslutat nĂ€r de ska raderasU y7Riktighet – Uppgifterna ska vara korrekta och uppdaterade.Felaktiga uppgifter kan skada individers rĂ€ttigheter.Finns rutiner och processer för att hĂ„lla personuppgifter korrekta och uppdaterade?X  w9Uppgiftsminimering – Samla inte in mer data Ă€n nödvĂ€ndigt.Ökar risken för dataintrĂ„ng och överflödig data.SĂ€kerstĂ€ller ni att ni inte samlar in mer data Ă€n vad som Ă€r absolut nödvĂ€ndigt?‚ s‚ ÄndamĂ„lsbegrĂ€nsning – Samla bara in uppgifter för specifika syftenRisk för otillĂ„ten sekundĂ€r anvĂ€ndning av data.Samlar ni endast in personuppgifter för specifika, tydligt definierade Ă€ndamĂ„l och Ă€r Ă€ndamĂ„len/syften Ă€r dokumenterade?‚ wTransparens – Informera tydligt om hur personuppgifter anvĂ€nds.Brist pĂ„ insyn underminerar förtroende och rĂ€ttigheter.Informerar ni tydligt och lĂ€ttförstĂ„eligt om hur personuppgifter samlas in, varför de anvĂ€nds och hur de lagras?‚ /}‚RĂ€ttvisa – Behandlingen fĂ„r inte vara diskriminerande eller oproportionerlig.Kan leda till diskriminering och rĂ€ttsliga pĂ„följder.Har ni sĂ€kerstĂ€llt att behandlingen av personuppgifter sker pĂ„ ett rĂ€ttvist, oproportionerligt och icke-diskriminerande sĂ€tt?_ Km‚ !Laglighet – RĂ€ttslig grund.Utan rĂ€ttslig grund Ă€r all behandling olaglig.Har ni identifierat och dokumenterar rĂ€ttslig grund (samtycke, avtal, rĂ€ttslig förpliktelse etc.) för varje behandling? ! MÙÍčŐóéÖ'M< t % D țW #q Möjlighet att Ă„terkalla samtycke – Enkelt och tydligt för anvĂ€ndaren.KrĂ€nker individens kontroll över sina uppgifter.Finns det en enkel och tydlig process för att Ă„terkalla samtycke?MĂ„ttlig, U{ Dokumentera samtycke – Bevis pĂ„ att samtycke har getts.SvĂ„rt att bevisa laglig behandling.Dokumenterar ni att samtycke har getts av registrerade?Betydande‚ w‚% Ansvarsskyldighet – Kunna visa att ni följer GDPR.OförmĂ„ga att visa efterlevnad kan leda till sanktioner.Kan ni visa att ni följer GDPR (exempelvis vid en granskning av IMY), exempelvis genom dokumentation, skyddsrutiner och interna kontroller?MĂ„ttlig‚# )]‚9Integritet och konfidentialitet – Skydda uppgifterna mot obehörig Ă„tkomst.Direkt risk för dataintrĂ„ng och skada.Finns tekniska och organisatoriska Ă„tgĂ€rder för att skydda personuppgifter mot obehörig Ă„tkomst enligt faststĂ€llt skyddsvĂ€rde för uppgifterna?MĂ„ttliga e?Lagringsminimering – Spara inte uppgifter lĂ€ngre Ă€n nödvĂ€ndigt.Onödig lagring ökar risk för datalĂ€ckor.Är du tydliggjort hur lĂ€nge sparar ni personuppgifter, och beslutat nĂ€r de ska raderasMĂ„ttlig_ y7Riktighet – Uppgifterna ska vara korrekta och uppdaterade.Felaktiga uppgifter kan skada individers rĂ€ttigheter.Finns rutiner och processer för att hĂ„lla personuppgifter korrekta och uppdaterade?Betydandea  w9Uppgiftsminimering – Samla inte in mer data Ă€n nödvĂ€ndigt.Ökar risken för dataintrĂ„ng och överflödig data.SĂ€kerstĂ€ller ni att ni inte samlar in mer data Ă€n vad som Ă€r absolut nödvĂ€ndigt?MĂ„ttlig‚ s‚ ÄndamĂ„lsbegrĂ€nsning – Samla bara in uppgifter för specifika syftenRisk för otillĂ„ten sekundĂ€r anvĂ€ndning av data.Samlar ni endast in personuppgifter för specifika, tydligt definierade Ă€ndamĂ„l och Ă€r Ă€ndamĂ„len/syften Ă€r dokumenterade?8Allvarlig‚  wTransparens – Informera tydligt om hur personuppgifter anvĂ€nds.Brist pĂ„ insyn underminerar förtroende och rĂ€ttigheter.Informerar ni tydligt och lĂ€ttförstĂ„eligt om hur personuppgifter samlas in, varför de anvĂ€nds och hur de lagras?MĂ„ttlig‚" /}‚RĂ€ttvisa – Behandlingen fĂ„r inte vara diskriminerande eller oproportionerlig.Kan leda till diskriminering och rĂ€ttsliga pĂ„följder.Har ni sĂ€kerstĂ€llt att behandlingen av personuppgifter sker pĂ„ ett rĂ€ttvist, oproportionerligt och icke-diskriminerande sĂ€tt?MĂ„ttlig‚C aƒTekniska skydd – Kryptering, pseudonymisering, Ă„tkomstkontroller.Utan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns en tydlig strategi som har implementertas gĂ€llande teknisk skydd (t.ex. kryptering, pseudonymisering), vidare kontroll av Ă„tkomst och tilldelning av behörighet till aktuella personuppgifter?^ %g;Informera vid datalĂ€ckor – Till bĂ„de registrerade och tillsynsmyndighet.Fördröjd information kan förvĂ€rra skadan.Har ni rutiner för att informera registrerade och tillsynsmyndigheten vid datalĂ€ckor?‚L geƒYAutomatiserat beslutsfattande och profileringIndivider kan inte utöva sina rĂ€ttigheter.Om ni anvĂ€nder automatiserat beslutsfattande eller profilering som pĂ„verkar registrerade (t.ex. kreditbedömning, rekrytering)? Har ni informerat registrerade om detta och sĂ€kerstĂ€llt deras rĂ€tt att fĂ„ mĂ€nsklig inblandning?E k  Integritetspolicy – Tydlig, lĂ€ttförstĂ„elig och tillgĂ€nglig.Bristande information underminerar transparens.Är er integritetspolicy tydlig, lĂ€ttförstĂ„elig och lĂ€ttillgĂ€nglig?_ _W Bedömning av berĂ€ttigat intresse – Om detta anvĂ€nds som grund.Risk för obalanserad intresseavvĂ€gning.Har ni gjort en djuplĂ€ggande bedömning av berĂ€ttigat intresse om det anvĂ€nds som rĂ€ttslig grund?_ Km‚Laglighet – RĂ€ttslig grund.Utan rĂ€ttslig grund Ă€r all behandling olaglig.Har ni identifierat och dokumenterar rĂ€ttslig grund (samtycke, avtal, rĂ€ttslig förpliktelse etc.) för varje behandling?MĂ„ttlig Sü ț ë á Ś  DOë睱ßSA! {KI!RĂ€tt till rĂ€ttelse – Korrigera felaktiga uppgifter.Felaktig data kan orsaka skada.Hanterar verksamheten begĂ€ran om rĂ€ttelse av felaktiga uppgifter enligt fastslagna rutiner?x  W‚ RĂ€tt till tillgĂ„ng – FĂ„ veta vilka uppgifter som behandlas.Individer förlorar insyn i sin data.Möjliggör ni att registrerade fĂ„r tillgĂ„ng till sina personuppgifter via av organisationen faststĂ€llda, dokumenterade processer?J WCInterna riktlinjer och utbildning – För alla medarbetare.Ökar risken för mĂ€nskliga misstag.Finns det interna uppdaterade riktlinjer och utbildningar för medarbetare kring dataskydd?@ ]Avtal med personuppgiftsbitrĂ€den – Tydliga och juridiskt bindande.Utan avtal Ă€r ansvarsfördelning oklar.Har ni juridiskt bindande avtal med alla era personuppgiftsbitrĂ€den?x #ioDataskyddsbedömning (DPIA) – Vid hög risk för individers rĂ€ttigheter.Högriskbehandling utan bedömning Ă€r farlig.Genomför ni dataskyddsbedömningar (DPIA) enligt fastlagda rutiner och kriterier vid behandlingar med hög risk?‚G GGƒ Överföring till tredje landÖverföring av personuppgifter till tredje land mĂ„ste utföras enligt faststĂ€lla principerOm ni överför ni personuppgifter till lĂ€nder utanför EU/EES? Har ni sĂ€kerstĂ€llt att överföringen sker enligt GDPR (t.ex. genom standardavtalsklausuler, beslut om adekvat skyddsnivĂ„)?‚  u‚Identifiera personuppgiftbitrĂ€de eller personuppgiftsansvarigPersonuppgifter mĂ„ste behandlas beroende av ansvar.Har verksamheten identifiera om ni agerar som personuppgiftbitrĂ€de eller personuppgiftsansvarig för verksamhetens IT-tjĂ€nster? sayDataskyddsombud (DPO) – Om det krĂ€vs enligt lag.Brist pĂ„ expertis vid komplex behandling.Har ni utsett ett dataskyddsombud (DPO) om det krĂ€vs?? {]3Register över behandlingar – Enligt artikel 30 GDPR.KrĂ€vs för tillsyn och intern kontroll.Har ni ett register över alla personuppgiftsbehandlingar enligt artikel 30 i GDPR?r g‚Distribuerade applikationer och webbtjĂ€nsterBrist pĂ„ insyn underminerar förtroende och rĂ€ttigheter.Har verksamheten implementerat integritetspolicyn i distribuerade applikationer/appar och webbtjĂ€nster (Ă€ven cookiebanner)?L  OM Incidenthantering – Plan för dataintrĂ„ng och rapportering.FörsĂ€mrad respons vid intrĂ„ng.Finns en plan, faststĂ€llda rutiner och en organisation för incidenthantering vid dataintrĂ„ng?A  Y)Risk- och sĂ„rbarhetsanalys – Identifiera och hantera risker.SvĂ„rt att förebygga hot utan analys.Har ni genomfört risk- och sĂ„rbarhetsanalyser för personuppgiftsbehandling?‚ O ‚?Klassificering av personuppgifterKrĂ€vs för att kunna bedöma skyddvĂ€rde och skyddsĂ„tgĂ€rder.Har verksamheten klassificerat de personuppgifter man behandlar vanilga personuppgifter,sĂ€rskilt skyddade personuppgifter,kĂ€nsliga personuppgifter mfl.‚ o‚Organisatoriska skydd – Rutiner, utbildning, ansvarsfördelning.Bristande rutiner ökar risken för felhantering.Har verksamheten implementerat organisatoriska skydd (t.ex. utbildning, tydliggjort ansvarsfördelning) för att skydda informationen?‚ C‚gTestmiljöer och utvecklingUtan kontroll över testmiljöer riskerar data att lĂ€cka.On anvĂ€nder ni personuppgifter i test- eller utvecklingsmiljöer? Har ni sĂ€kerstĂ€llt att dessa miljöer Ă€r isolerade och att data Ă€r anonymiserad eller pseudonymiserad?{ Ma‚UTekniska skydd – DistansarbeteUtan skydd Ă€r data sĂ„rbar för intrĂ„ng.Har ni rutiner för dataskydd vid distansarbete (t.ex. kryptering, VPN, policy för enheter) och finns det riktlinjer för anvĂ€ndning av privata enheter i arbetet?‚ sa‚;Tekniska skydd – Kryptering av data kommunikationUtan skydd Ă€r data sĂ„rbar för intrĂ„ng.Finns teknisk skydd gĂ€llande datakommunikation, datalagring (sĂ„som SSL och HTTPS för interna eller externa tjĂ€nster som hanterar personuppgifter?   Z0B r Z% %nonenonenoneM$  YC$RĂ€tt att invĂ€nda mot behandling (vid direktmarknadsföring).SĂ€rskilt viktigt vid marknadsföring.Kan verksamheten hantera invĂ€ndningar mot behandling, sĂ€rskilt vid direktmarknadsföring?k# ie#RĂ€tt till dataportabilitet – Flytta uppgifter till annan aktör.BegrĂ€nsar individens kontroll över sin data.Kan registrerade enkelt flytta sina uppgifter till en annan aktör (dataportabilitet) om detta Ă€r aktuellt?M" iUi"RĂ€tt till radering ("rĂ€tten att bli glömd")Individer kan inte ta bort sin data.Hanterar verksamheten registrerades begĂ€ran om radering ("rĂ€tten att bli glömd") enligt fastslagna rutiner?