Dataskyddsförordningen skiljer mellan två huvudroller: personuppgiftsansvariga och personuppgiftsbiträde. Denna åtskillnad är avgörande eftersom den personuppgiftsansvarige har ett större ansvar och måste fullgöra fler skyldigheter än personuppgiftsbiträdet.

Personuppgiftsansvariga och personuppgiftsbiträden kan vara fysiska eller juridiska personer, till exempel ett litet eller medelstort företag, en offentlig myndighet, en organisation, ett statligt organ, en sammanslutning osv.

En personuppgiftsansvarig bestämmer ändamålen och medlen för en behandling. Med andra ord bestämmer den personuppgiftsansvarige hur och varför en behandling sker. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning. Behandling som utförs av personuppgiftsbiträden måste regleras genom ett avtal med den personuppgiftsansvarige eller genom annan rättsakt.

Exempel på personuppgiftsansvariga:

• företag som behandlar sina kunders personuppgifter för att slutföra en försäljning;
• finansinstitut som behandlar sina kunders personuppgifter.
• sammanslutningar som behandlar sina medlemmars personuppgifter.
• skolor eller universitet som behandlar personuppgifter om studenter och lärare.
• sjukhus som behandlar sina patienters personuppgifter.
• myndigheter som behandlar medborgarnas personuppgifter.

Exempel på personuppgiftsbiträden:

• ett litet eller medelstort företag anlitar en bokföringstjänst för att föra sina räkenskaper och register, SME-företaget är personuppgiftsansvarig och bokföringstjänsten är personuppgiftsbiträde.
• ett löneföretag behandlar personuppgifter för ett SME-företag. Löneföretaget kommer att fungera som personuppgiftsbiträde om det enbart behandlar personuppgifterna för SME-företagets räkning. SME-företaget bestämmer ändamålen och medlen för databehandlingen och är därför personuppgiftsansvarigt.
• ett SME-företag ger ett marknadsföringsföretag i uppdrag att samla in e-postadresser via tredje parts webbplatser.  Marknadsföringsföretaget gör detta enligt de uttryckliga instruktionerna från SME-företaget och uteslutande för SME-företagets syften. Marknadsföringsföretaget fungerar som personuppgiftsbiträde för denna behandling av personuppgifter.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.

Mer information:

• Dataskyddsombud

Om er organisation samlar in personuppgifterna direkt från de enskilda personernar måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.

Vid indirekt insamling av personuppgifter måste ni lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad kan förkortas:

• om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
• om uppgifterna överförs till en annan mottagare ska organisationen informera de registrerade om detta senast när personuppgifterna överförs.

Mer information:

• Respektera enskildas rättigheter

Enskilda personer kan fråga er om ni behandlar deras uppgifter och  om så är  fallet har de rätt att få tillgång till dessa uppgifter. Så när detta händer och om ni behandlar deras uppgifter ska ni till exempel tillhandahålla en kopia av deras personuppgifter kostnadsfritt tillsammans med all nödvändig ytterligare information. Om en begäran görs elektroniskt bör er organisation tillhandahålla den information som krävs i ett allmänt använt elektroniskt format, såvida inte personen ifråga begär något annat.

Mer information:

• Respektera enskildas rättigheter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.

• Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
• Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.

I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.

Mer information:

• Personuppgiftsincidenter

I avtalet mellan den pesonuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet

• behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
• säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
• säkerställer säkerheten vid behandlingen,
• inte får anlita ett annat personuppgiftsbiträde utan den personuppgiftsansvariges särskilda eller allmänna skriftliga tillstånd,
• bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
• bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
• efter den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
• gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt den allmänna dataskyddsförordningen efterlevs,
• möjliggör och bidrar till revisioner, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan revisor som den personuppgiftsansvarige bemyndigat.

Dessutom ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om den anser att instruktioner strider mot den allmänna dataskyddsförordningen eller andra EU-bestämmelser eller nationella dataskyddsbestämmelser.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

GDPR eller den allmänna dataskyddsförordningen skapar en harmoniserad uppsättning regler som är tillämpliga på all behandling av personuppgifter som utförs av organisationer (offentliga eller privata, oavsett storlek) som är etablerade i Europeiska ekonomiska samarbetsområdet (EES) eller riktar sig till enskilda personer i EU. Det primära syftet med GDPR är att säkerställa att personuppgifter har samma höga skyddsnivå överallt inom EES, öka rättssäkerheten för både enskilda och organisationer som behandlar personuppgifter och erbjuda en hög skyddsnivå för enskilda personer.

Förordningen trädde i kraft den 24 maj 2016 och gäller sedan den 25 maj 2018.

Pseudonymisering består i att omvandla personuppgifter så att de inte längre kan tillskrivas en viss person utan användning av ytterligare information, förutsatt att sådan ytterligare information hålls separat och är föremål för tekniska och organisatoriska skyddsåtgärder för att säkerställa att personuppgifterna inte tillskrivs enskilda personer. I praktiken kan det innebära att personuppgifter (namn, förnamn, personnummer, telefonnummer osv.) ersätts med indirekta identifieringsuppgifter (alias, löpnummer osv.). Pseudonymiserade uppgifter är fortfarande personuppgifter och omfattas av GDPR.

Anonymiserade uppgifter är uppgifter som har anonymiserats på ett sådant sätt att den enskilde inte längre kan identifieras på något sätt som rimligen kan komma att användas. När anonymiseringen genomförs korrekt gäller GDPR inte längre de anonymiserade uppgifterna.

Mer information:

• Säkra personuppgifter

Vissa typer av personuppgifter, så kallade känsliga personuppgifter,  utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:

• en individs hälsa
• en persons sexuella läggning
• en persons ras eller etniska ursprung
• en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
• en individs biometriska och genetiska data

Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.

Mer information:

• Grunderna för dataskydd