Ordlista GDPR

Här har vi samlat några centrala ord och begrepp som det är bra att ha koll på i GDPR-arbetet.

  • Avtal med den registrerade

    Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs då att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Det gäller bara sådana avtal i vilka den registrerade är eller avser att bli part. Exempel på personuppgiftsbehandling som kan vara nödvändig i samband med avtal är kund- och personaladministrativa system för bland annat fakturering respektive löneberäkning.

    Läs mer på Datainspektionens webbplats

  • Behandling av personuppgifter

    Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Ostrukturerat material undantas inte.

    Läs mer på Datainspektionens webbplats

  • Dataportabilitet

    Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till dataportabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att denna behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat. Rätten till dataportabilitet är en nyhet i dataskyddsförordningen.

    Läs mer på Datainspektionens webbplats

  • Datasäkerhetspolicy

    Informationssäkerhet handlar om att hindra information från att läcka ut, förvanskas, förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Beroende på organisation kan både risker och hot variera både sett till typ och storlek, men till stor del handlar information om att minimera och att hantera risker på ett adekvat sätt.

    Genom att skapa en informationssäkerhetspolcy och kommunicera den både internt och externt kan du säkerställa bättre struktur på säkerhetsarbetet och få en högre grad av förutsägbarhet. Följden blir en minimering av risker och färre misstag som kan som kan leda till kostsamma säkerhetsincidenter. Kärt barn har många namn och alternativa benämningar som Personuppgiftshanteringspolicy och Datasäkerhetspolicy förekommer mer eller mindre synonymt med Informationssäkerhetspolcy.

    I Datakollens app hittar du mallar för att underlätta arbetet med att komma igång med att upprätta en informationssäkerhetspolicy.

    Läs mer på Datainspektionens webbplats

  • Dataskyddsombud

    Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Meddela Datainspektionen när ni utsett ett dataskyddsombud.

    Dataskyddsombudets kontaktuppgifter ska skickas till Datainspektionen. Läs mer på Datainspektionens webbplats.

  • Informationssäkerhetspolicy / Personuppgiftshanteringspolicy / Datasäkerhetspolicy

    Informationssäkerhet handlar om att hindra information från att läcka ut, förvanskas, förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Beroende på organisation kan både risker och hot variera både sett till typ och storlek, men till stor del handlar information om att minimera och att hantera risker på ett adekvat sätt.

    Genom att skapa en informationssäkerhetspolcy och kommunicera den både internt och externt kan du säkerställa bättre struktur på säkerhetsarbetet och få en högre grad av förutsägbarhet. Följden blir en minimering av risker och färre misstag som kan som kan leda till kostsamma säkerhetsincidenter. Kärt barn har många namn och alternativa benämningar som Personuppgiftshanteringspolicy och Datasäkerhetspolicy förekommer mer eller mindre synonymt med Informationssäkerhetspolcy.

    I Datakollens app hittar du mallar för att underlätta arbetet med att komma igång med att upprätta en informationssäkerhetspolicy.

    Läs mer på Datainspektionens webbplats

  • Intresseavvägning

    Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att behandlingen är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Barn anses vara särskilt skyddsvärda. Myndigheter kan inte stödja sin behandling på en intresseavvägning när de behandlar personuppgifter som ett led i fullgörande av sina uppgifter. Sådan behandling får istället ske med stöd av lag eller annan författning (läs mer under Rättslig förpliktelse och Uppgift av allmänt intresse och myndighetsutövning).

    Om den registrerade invänder mot en pågående behandling måste den som behandlar personuppgifterna göra en ny intresseavvägning och upphöra med behandlingen om inte det finns tvingande berättigade skäl. Om den registrerade invänder mot behandling som sker för direkt marknadsföring måste behandlingen upphöra.

    Läs mer på Datainspektionens webbplats

  • Känsliga personuppgifter

    Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel:

    • ras eller etniskt ursprung
    • hälsodata, t.ex. allergier och sjukfrånvaro
    • genetiska och biometriska data
    • religiös eller politisk åskådning
    • medlemskap i fackförbund
    • lagöverträdelser

    Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga. 

    Läs mer på Datainspektionens webbplats

  • Krypterade personuppgifter

    Även krypterade personuppgifter är enligt GDPR att betrakta som personuppgifter. 

    Det gäller även om den som har uppgifterna inte har tillgång till nyckeln för att få fram de faktiska personuppgifterna. Kryptering är alltså inte ett sätt att undvika regelverket, men väl en säkerhetsåtgärd som kan användas för att skydda lagrade personuppgifter.

  • Missbruksregeln

    I Sverige hade vi den så kallade missbruksregeln som innebär enklare regler för personuppgifter i ostrukturerat material. När dataskyddsförordningen började gälla den 25 maj 2018 kan vi inte längre göra så. Då gäller samma regler för alla personuppgifter.

    Läs mer på Datainspektionens webbplats

  • NIS-direktivet

    Direktivet syftar till att uppnå en hög säkerhetsnivå i nätverk och informationssystem inom hela EU, till skillnad från GDPR som är dedikerat för personuppgifter. Det innebär att utvalda leverantörer av samhällsviktiga tjänster samt vissa leverantörer av digitala tjänster behöver vidta säkerhetsåtgärder för att hantera potentiella risker och incidenter i sin IT-infrastruktur. De områden som omfattas av direktivet är energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.

    För privata aktörer handlar NIS-direktivet främst om rapporteringsskyldigheter vid incidenter samt krav på att arbeta strukturerat och metodiskt enligt vedertagna standardiserade ramverk, exempelvis ISO 27000, för hantering av risker relaterade till just nätverk. För offentliga aktörer, däribland Sveriges samtliga myndigheter, ska samtliga IT-tjänsteavtal även inkludera krav på att tjänsteleverantören upprätthåller incidentrapportering av samma karaktär som myndigheterna själva.

  • Personuppgift

    Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet, t.ex.

    • namn, adress och personnummer
    • fotografier och ljudupptagningar
    • IP-nummer
    • ”nicks” som används i ett datorspel eller liknande

    Ett bolagsnummer är ofta inte en personuppgift men kan vara det om det handlar om ett enmansföretag. Registreringsnumret på en bil kan vara en personuppgift om det går att knyta till en fysisk person medan registreringsnumret på en firmabil som används av flera, kanske inte är en personuppgift.

    Läs mer på Datainspektionens webbplats

  • Personuppgiftsansvarig

    Personuppgiftsansvarig är den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig vilket till exempel är fallet för enskilda firmor.

    Läs mer på Datainspektionens webbplats

  • Personuppgiftsbiträde

    Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ.

    De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

    Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från den personuppgiftsansvarige. Ett skriftligt avtal ska alltid upprättas.

    Läs mer på Datainspektionens webbplats

  • Personuppgiftshanteringspolicy

    Informationssäkerhet handlar om att hindra information från att läcka ut, förvanskas, förstöras samt säkerställa att informationen finns tillgänglig för en legitim användare. Beroende på organisation kan både risker och hot variera både sett till typ och storlek, men till stor del handlar information om att minimera och att hantera risker på ett adekvat sätt.

    Genom att skapa en informationssäkerhetspolcy och kommunicera den både internt och externt kan du säkerställa bättre struktur på säkerhetsarbetet och få en högre grad av förutsägbarhet. Följden blir en minimering av risker och färre misstag som kan som kan leda till kostsamma säkerhetsincidenter. Kärt barn har många namn och alternativa benämningar som Personuppgiftshanteringspolicy och Datasäkerhetspolicy förekommer mer eller mindre synonymt med Informationssäkerhetspolcy.

    I Datakollens app hittar du mallar för att underlätta arbetet med att komma igång med att upprätta en informationssäkerhetspolicy.

    Läs mer på Datainspektionens webbplats

  • Personuppgiftsincident (data breach)

    En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

    • diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning
    • finansiell förlust
    • brott mot sekretess eller tystnadsplikt.

    En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har

    • blivit förstörda
    • gått förlorade på annat sätt
    • kommit i orätta händer.

    Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

    Man behöver inte göra någon anmälan om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.

    Läs mer om hur personuppgiftsincidenter ska hanteras på Datainspektionens webbplats

  • Personuppgiftsombud

    Tillhör den gamla personuppgiftslagen (PuL) och ersätts i GDPR med Dataskyddsombud

    Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Meddela Datainspektionen när ni utsett ett dataskyddsombud.

    Dataskyddsombudets kontaktuppgifter ska skickas till Datainspektionen. Tidigast den 1 mars 2018 kommer denna möjlighet att finnas på Datainspektionens webbplats.

  • Personuppgiftssamling/register

    En personuppgiftssamling är strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

    Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen.

    Läs mer på Datainspektionens webbplats

  • Rätten att ”bli bortglömd”

    Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:

    • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
    • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
    • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas

    Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse kan det vara berättigat att göra undantag från individens rätt att ”bli bortglömd”. I övriga fall är företag och organisationer skyldig att ha fungerande rutiner för att kunna ta bort personuppgifter på individens begäran.

  • Rättslig förpliktelse

    Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Den rättsliga förpliktelsen ska åligga den personuppgiftsansvarige och följa av EU-rätt eller svensk rätt. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.

    Läs mer på Datainspektionens webbplats

  • Rättslig grund för personuppgiftsbehandling

    För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund är samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning, samt efter en intresseavvägning.

    Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna för behandling av personuppgifter och de ytterligare krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.

    Här kan du läsa om de olika typerna av rättslig grund för hantering av prsonuppgifter

    Läs mer på Datainspektionens webbplats

  • Samtycke

    I personuppgiftslagen definieras samtycke som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

    Ett samtycke ska vara:

    • individuellt
    • frivilligt
    • särskilt

    Samtycket ska vara individuellt. Det ska alltså vara den registrerade själv som med egen vilja godtar behandlingen av personuppgifter. Det räcker inte att till exempel en förening för sina medlemmars räkning godtar behandling av personuppgifter.

    Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas.

    Här måste den personuppgiftsansvarige göra en bedömning av läget. Samtycke kan ju vara en förutsättning för att den registrerade ska få något som han eller hon önskar eller behöver. I de flesta fall vållar inte kravet på frivillighet några bekymmer utan den enskilde får, efter att ha fått information om behandlingen, själv ta ställning till om han eller hon accepterar den för att till exempel erhålla en vara eller tjänst. Konsekvensen av att man inte samtycker kan bli att man inte får varan eller tjänsten.

    Läs mer på Datainspektionens webbplats

  • Skydda grundläggande intressen

    Behandling av personuppgifter är tillåten om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för någon annan person. Det handlar om sådana intressen som är av avgörande betydelse för den registrerades eller någon annan persons liv. Som exempel kan nämnas personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna samtycke.

    Läs mer på Datainspektionens webbplats

     

  • Undantag från GDPR

    GDPR gäller för företag, organisationer, föreningar och myndigheter. Privatpersoner omfattas inte av GDPR. Det innebär att privatpersoner kan fortsätta att hantera personuppgifter på samma sätt som tidigare, men att företag, föreningar och myndigheter kan behöva förändra sina rutiner.

    Det finns dock särskilda undantag från GDPR som omfattar t.ex. sjukvården, försvaret och andra offentliga organ. Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt.

     

  • Uppgift av allmänt intresse och myndighetsutövning

    Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgiften ska regleras i EU-rätt eller svensk rätt. Det innebär att uppgiften måste följa av lag eller annan författning eller av ett beslut som meddelats med stöd av lag eller annan författning. Det spelar ingen roll om den personuppgiftsansvarige som ska utföra uppgiften är en myndighet eller någon annan organisation.

    Behandling av personuppgifter är också tillåten om den är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Myndighetsutövningen ska grundas på EU-rätt eller svensk rätt. Det är i första hand statliga och kommunala myndigheter som kan behandla personuppgifter som ett led i myndighetsutövning. Privata aktörer kan dock i vissa fall anförtros myndighetsutövning.

    I Sverige är det vanligt att personuppgiftsbehandling som sker i samband med myndighetsutövning regleras i särskilda bestämmelser, så kallade registerförfattningar. Detta gäller till exempel för Skatteverkets verksamhet.

    När personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning kan den registrerade ha rätt att invända mot att personuppgifter behandlas. Den personuppgiftsansvarige måste då göra en bedömning av om det ändå finns tvingande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen. Om man kan visa att så är fallet får personuppgifterna fortsätta att behandlas.

    Läs mer på Datainspektionens webbplats

     

  • Uppgiftsminimering

    Du ska aldrig behandla fler personuppgifter än vad som behövs för det aktuella ändamålet. De personuppgifter som behandlas ska också vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara ”bra att ha”.

    Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet.

    Läs mer på Datainspektionens webbplats

  • Utgivningsbevis

    Sedan 2003 kan en innehavare av en databas få grundlagsskydd för databasen genom att ansöka om utgivningsbevis, så kallat frivilligt grundlagsskydd. Utgivningsbevis utfärdas av Myndigheten för press, radio och tv och gäller i tio år. För att ett utgivningsbevis ska utfärdas krävs bland annat att en utgivare har utsetts och att överföringarna utgår från Sverige. Det ställs däremot inte upp några krav på att verksamheten ska ha ett visst innehåll eller syfte.

    Dataskyddsförordningen (GDPR) påverkar inte verksamheter med utgivningsbevis.

    Läs mer på Datainspektionens webbplats