Grundläggande begrepp

Personuppgift

Ordet personuppgift är ett centralt begrepp för Datainspektionen. Med det menas alla uppgifter eller all slags information som direkt eller indirekt kan användas för att identifiera en levande människa.

Definitionen är öppen, vilket alltså innebär att mindre uppenbara saker som är kopplade till levande personer, till exempel registreringsskylt på bilen eller fastighetsbeteckningar även de är personuppgifter. Namn är typiskt sett en personuppgift, men inte alltid, ett väldigt vanligt namn kan i vissa fall inte användas för att identifiera en särskild person, då blir namnet enbart en personuppgift i kombination med annan information som kan användas för att identifiera just den individen.

Saker som är unika för människor, till exempel fingeravtryck, hur ansiktet ser ut, gångstil eller hur rösten låter är alltid att se som personuppgifter. 

Behandling

Med behandling avses varje åtgärd som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte. Observera att GDPR bara är tillämplig på rent manuella behandlingar om personuppgifterna ingår eller kommer att ingå i ett register.

Personuppgiftsansvarig

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen eller medlen för behandlingen av personuppgifter är personuppgiftsansvarig. Datainspektionen är tillsynsmyndighet för åländska myndigheter.

Personuppgiftsbiträde  

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

Dataskyddsombud

Ett dataskyddsombud utnämns av en organisation och har som främsta uppgift att övervaka att personuppgifter behandlas på ett korrekt och lagligt sätt inom organisationen. Dataskyddsombudet är även organisationens kontaktperson med Datainspektionen och med enskilda som har frågor om organisationens personuppgiftsbehandlingar.

Register

Ett register är en strukturerad samling personuppgifter. Strukturerad betyder i förevarnande fall att registret ska vara sökbart på ett eller annat sätt. Det behöver inte vara sökbart för vem som helst, utan det räcker med att det är sökbart för den som har registret.

Register över behandling

Register över behandling kallas den sammanställning av personuppgiftsbehandlingar som främst personuppgiftsansvariga ska göra.

Varje behandling ska vara beskriven med minst följande:

  • Behandlingens namn (för att identifiera vilken behandling beskrivningen avser)
  • Ändamål (för vilket ändamål hanteras personuppgifter i den aktuella behandlingen)
  • Personuppgiftsansvarig (namn, organisationsnummer, adress och kontaktuppgifter) 
  • Dataskyddsombud (namn och kontaktuppgifter)
  • Kategorier av registrerade (till exempel anställda, kunder och medlemmar)
  • Kategorier av registrerade (till exempel namn, kontaktuppgifter, personbeteckningar, lön, omdömen, diarienummer, IP-adress, registreringsnummer på fordon eller fastighetsbetckning
  • Kategorier av mottagare (inklusive personuppgiftsbiträden) till vilka personuppgifterna lämnas ut (till exempel Folkpensionsanstalten, skatteförvaltningen eller namngivet personuppgiftsbiträde)
  • Tredjelandsöverföringar inklusive mekanismer (till exempel namn, land eller mekanism/undantag som används)
  • Bevarande och gallring (generella tidsfrister för gallring (om möjligt med motivering)
  • En allmän beskrivning (om möjligt) av vidtagna säkerhetsåtgärder (med hänvisning till artikel 32, It-säkerhetspolicy eller liknande)

​Samtycke

Varje slag av frivillig, specifik, informerad, otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke kan enbart användas som rättslig grund för personuppgiftsbehandling i väldigt begränsad omfattning av myndigheter. Detta förklaras av att relationen mellan en myndighet och en enskild person oftast är så pass ojämn att den enskilda personen inte kan vara säker på att det är konsekvensfritt att helt enkelt säga nej till en viss behandling.

Personuppgiftsincident 

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Publicerad 14.11.2017
Uppdaterad 18.3.2019