Grundläggande begrepp

Personuppgift

Ordet personuppgift är ett centralt begrepp för Datainspektionen. Med det menas alla uppgifter eller all slags information som direkt eller indirekt kan användas för att identifiera en levande människa.

Definitionen är öppen, vilket alltså innebär att mindre uppenbara saker som är kopplade till levande personer, till exempel registreringsskylt på bilen eller fastighetsbeteckningar även de är personuppgifter. Namn är typiskt sett en personuppgift, men inte alltid, ett väldigt vanligt namn kan i vissa fall inte användas för att identifiera en särskild person, då blir namnet enbart en personuppgift i kombination med annan information som kan användas för att identifiera just den individen.

Saker som är unika för människor, till exempel fingeravtryck, hur ansiktet ser ut, gångstil eller hur rösten låter är alltid att se som personuppgifter. 

Behandling

Med behandling avses varje åtgärd som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte. Observera att GDPR bara är tillämplig på rent manuella behandlingar om personuppgifterna ingår eller kommer att ingå i ett register. En vanlig missförståelse är att GDPR främst handlar om register, detta stämmer inte. GDPR handlar om behandlingar som utförs, alltså handlingar av olika slag som en utförare gör där personuppgifter förekommer på ett eller annat sätt.

Till exempel: förvaring, radering, lönekörning, utredning, ärendehantering, inspelning eller fotografering.

Personuppgiftsansvarig

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen eller medlen för behandlingen av personuppgifter är personuppgiftsansvarig. I den engelska översättningen av GDPR används termen "controller", detta är ett lite tydligare begrepp eftersom det som utmärker en personuppgiftsansvarig i slutänden är att den kontrollerar vad som görs med personuppgifterna.

Personuppgiftsbiträde  

En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. I den engelska översättningen av GDPR används termen "processor", även denna term är lite tydligare än den svenska termen. Ett personuppgiftsbiträde kan med fördel alltså sägas vara en behandlare, ingen som bestämmer vad som ska göras med personuppgifterna, någon som helt enkelt enbart agerar på uppdrag av den personuppgiftsansvarige.

Dataskyddsombud

Ett dataskyddsombud utnämns av en organisation och har som främsta uppgift att övervaka att personuppgifter behandlas på ett korrekt och lagligt sätt inom organisationen. Dataskyddsombudet är även organisationens kontaktperson med Datainspektionen och med enskilda som har frågor om organisationens personuppgiftsbehandlingar. Alla myndigheter måste ha ett dataskyddsombud. Dataskyddsombudets roll är speciell, man kan jämföra den med en jurist eller revisor

Register

Ett register är en strukturerad samling personuppgifter. Strukturerad betyder i förevarnande fall att registret ska vara sökbart på ett eller annat sätt. Det behöver inte vara sökbart för vem som helst, utan det räcker med att det är sökbart för den som har registret. Det är vanligt att man tänker att allt från mötesanteckningar med närvarolista till sjukvårdens journalsystem är att se som register, i praktiken bör detta dock enbart innebära svårigheter i enstaka fall eftersom GDPR handlar om behandling av personuppgifter. Förvaringsplatsen är sekundär i förhållande till vad uppgifterna används till.

Register över behandling

Register över behandling kallas den sammanställning av personuppgiftsbehandlingar som främst personuppgiftsansvariga ska göra.

Varje behandling ska vara beskriven med minst följande:

  • Behandlingens namn (för att identifiera vilken behandling beskrivningen avser)
  • Ändamål (för vilket ändamål hanteras personuppgifter i den aktuella behandlingen)
  • Personuppgiftsansvarig (namn, organisationsnummer, adress och kontaktuppgifter) 
  • Dataskyddsombud (namn och kontaktuppgifter)
  • Kategorier av registrerade (till exempel anställda, kunder och medlemmar)
  • Kategorier av registrerade (till exempel namn, kontaktuppgifter, personbeteckningar, lön, omdömen, diarienummer, IP-adress, registreringsnummer på fordon eller fastighetsbetckning)
  • Kategorier av mottagare (inklusive personuppgiftsbiträden) till vilka personuppgifterna lämnas ut (till exempel Folkpensionsanstalten, skatteförvaltningen eller namngivet personuppgiftsbiträde)
  • Tredjelandsöverföringar inklusive mekanismer (till exempel namn, land eller mekanism/undantag som används)
  • Bevarande och gallring (generella tidsfrister för gallring (om möjligt med motivering))
  • En allmän beskrivning (om möjligt) av vidtagna säkerhetsåtgärder (med hänvisning till artikel 32, It-säkerhetspolicy eller liknande)

​Samtycke

Varje slag av frivillig, specifik, informerad, otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Samtycke kan enbart användas som rättslig grund för personuppgiftsbehandling i väldigt begränsad omfattning av myndigheter. Detta förklaras av att relationen mellan en myndighet och en enskild person oftast är så pass ojämn att den enskilda personen inte kan vara säker på att det är konsekvensfritt att helt enkelt säga nej till en viss behandling.

Personuppgiftsincident 

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.