Med personuppgifter avses all information som rör en identifierad eller identifierbar person. En identifierbar person är alla som kan identifieras, antingen direkt eller indirekt. Även olika uppgifter som genom att läggas ihop kan leda till identifiering av en viss person utgör personuppgifter.

Exempel på personuppgifter är:

• för- och efternamn
• en hemadress
• en e-postadress
• ett ID-kortnummer.
• lokaliseringsuppgifter
• en IP-adress (Internet Protocol)
• ett cookie-ID
• bankkonton
• skatterapporter
• biometriska uppgifter (som fingeravtryck)
• ett personnummer
• passnummer
• testresultat
• skolbetyg
• webbhistorik
• fotografi av enskilda personer
• fordones registreringsnummer etc

Mer information:

• Grunderna i dataskydd

Dataskyddsförordningen skiljer mellan två huvudroller: personuppgiftsansvariga och personuppgiftsbiträde. Denna åtskillnad är avgörande eftersom den personuppgiftsansvarige har ett större ansvar och måste fullgöra fler skyldigheter än personuppgiftsbiträdet.

Personuppgiftsansvariga och personuppgiftsbiträden kan vara fysiska eller juridiska personer, till exempel ett litet eller medelstort företag, en offentlig myndighet, en organisation, ett statligt organ, en sammanslutning osv.

En personuppgiftsansvarig bestämmer ändamålen och medlen för en behandling. Med andra ord bestämmer den personuppgiftsansvarige hur och varför en behandling sker. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning. Behandling som utförs av personuppgiftsbiträden måste regleras genom ett avtal med den personuppgiftsansvarige eller genom annan rättsakt.

Exempel på personuppgiftsansvariga:

• företag som behandlar sina kunders personuppgifter för att slutföra en försäljning;
• finansinstitut som behandlar sina kunders personuppgifter.
• sammanslutningar som behandlar sina medlemmars personuppgifter.
• skolor eller universitet som behandlar personuppgifter om studenter och lärare.
• sjukhus som behandlar sina patienters personuppgifter.
• myndigheter som behandlar medborgarnas personuppgifter.

Exempel på personuppgiftsbiträden:

• ett litet eller medelstort företag anlitar en bokföringstjänst för att föra sina räkenskaper och register, SME-företaget är personuppgiftsansvarig och bokföringstjänsten är personuppgiftsbiträde.
• ett löneföretag behandlar personuppgifter för ett SME-företag. Löneföretaget kommer att fungera som personuppgiftsbiträde om det enbart behandlar personuppgifterna för SME-företagets räkning. SME-företaget bestämmer ändamålen och medlen för databehandlingen och är därför personuppgiftsansvarigt.
• ett SME-företag ger ett marknadsföringsföretag i uppdrag att samla in e-postadresser via tredje parts webbplatser.  Marknadsföringsföretaget gör detta enligt de uttryckliga instruktionerna från SME-företaget och uteslutande för SME-företagets syften. Marknadsföringsföretaget fungerar som personuppgiftsbiträde för denna behandling av personuppgifter.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Nej, det är inte nödvändigt att göra ert register över personuppgiftsbehandlingar offentligt. Ni måste dock kunna göra registret tillgängligt för dataskyddsmyndigheten på begäran.

Mer information:

• Uppfyll kraven

GDPR eller den allmänna dataskyddsförordningen skapar en harmoniserad uppsättning regler som är tillämpliga på all behandling av personuppgifter som utförs av organisationer (offentliga eller privata, oavsett storlek) som är etablerade i Europeiska ekonomiska samarbetsområdet (EES) eller riktar sig till enskilda personer i EU. Det primära syftet med GDPR är att säkerställa att personuppgifter har samma höga skyddsnivå överallt inom EES, öka rättssäkerheten för både enskilda och organisationer som behandlar personuppgifter och erbjuda en hög skyddsnivå för enskilda personer.

Förordningen trädde i kraft den 24 maj 2016 och gäller sedan den 25 maj 2018.

EDPB publicerar regelbundet pressmeddelanden, nyhetsartiklar, bloggar och annat innehåll på sin webbplats och sina kanaler för sociala medier (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) för att hålla dataskyddsintresserade och allmänheten uppdaterad om sitt arbete.

EDPB:s webbplats har också två RSS-flöden som ni kan prenumerera på för automatiska uppdateringar av EDPB:s nyheter och EDPB:s senaste publikationer.

Generellt sett bör varje organisation föra register över sina personuppgiftsbehandlingar. Detta är en inventering av all behandling och kan hjälpa er att göra korrekta bedömningar av ert ansvar enligt dataskyddsförordningen och eventuella risker.

Var och en av dessa behandlingar ska beskrivas i registret med följande uppgifter:

• syftet med behandlingen (t.ex. kundlojalitet);
• de kategorier av uppgifter som behandlas (t.ex. för löner: namn, förnamn, födelsedatum, lön osv.).
• vem som har tillgång till uppgifterna (mottagarna – t.ex. den avdelning som ansvarar för rekrytering, IT-tjänsten, ledningen, tjänsteleverantörerna, partner...).
• i tillämpliga fall, information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES).
• om möjligt, lagringsperioden (den period för vilken uppgifterna är användbara ur operativ synvinkel och ur ett arkiveringsperspektiv).
• om möjligt, en allmän beskrivning av säkerhetsåtgärder.

Registret över personuppgiftsbehandlingar faller under organisationens chefs ansvar.

Detta register måste vara tillgängligt för dataskyddsmyndigheten i det EES-land där ni är verksamma, om så begärs.

Det är inte nödvändigt att organisationer som sysselsätter färre än 250 personer nämner rent tillfällig verksamhet i sina register (t.ex. uppgifter som behandlas för enstaka evenemang såsom öppnandet av en butik).
 

Mer information:

• Uppfylla kraven

Pseudonymisering består i att omvandla personuppgifter så att de inte längre kan tillskrivas en viss person utan användning av ytterligare information, förutsatt att sådan ytterligare information hålls separat och är föremål för tekniska och organisatoriska skyddsåtgärder för att säkerställa att personuppgifterna inte tillskrivs enskilda personer. I praktiken kan det innebära att personuppgifter (namn, förnamn, personnummer, telefonnummer osv.) ersätts med indirekta identifieringsuppgifter (alias, löpnummer osv.). Pseudonymiserade uppgifter är fortfarande personuppgifter och omfattas av GDPR.

Anonymiserade uppgifter är uppgifter som har anonymiserats på ett sådant sätt att den enskilde inte längre kan identifieras på något sätt som rimligen kan komma att användas. När anonymiseringen genomförs korrekt gäller GDPR inte längre de anonymiserade uppgifterna.

Mer information:

• Säkra personuppgifter

Ja, det kan ni, men dataskyddsförordningen ställer upp vissa skyldigheter för företag som delar personuppgifter. Er organisation måste informera enskilda personer om att ni kommer att dela deras data med en tredje part. Ni måste också informera dem om era syften, säkerhet, åtkomst och de lagringsåtgärder som kommer att gälla.

Dataskyddsförordningen gäller för användningen av cookies när dessa används för att behandla personuppgifter, men det finns också mer specifika regler för cookies i direktivet om integritet och elektronisk kommunikation.

Lagring av en cookie eller åtkomst till en cookie som redan lagrats i en användares terminalutrustning är endast tillåten under förutsättning att den berörda abonnenten eller användaren har fått tillräcklig information (särskilt om syftet med behandlingen) och har gett sitt samtycke.

Det enda undantaget är tekniskt nödvändiga cookies. Organisationer behöver inte be om samtycke när de använder tekniskt nödvändiga cookies på sina webbplatser.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Ni bör svara utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran. Denna tidsfrist kan förlängas med ytterligare två månader om begäran är för komplicerad och mer tid behövs för att svara, förutsatt att personen informeras om detta inom en månad efter mottagandet av begäran.

Ni måste göra detta kostnadsfritt.

Mer information:

• Respektera enskildas rättigheter