Ordlista

Här listas ord och begrepp som du behöver ha koll på i ditt GDPR-arbete. Informationen har huvudsakligen hämtats från Datainspektionen

  • Avtal med den registrerade

    Ett avtal kan utgöra en rättslig grund för att behandla personuppgifter. Det krävs då att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Det gäller bara sådana avtal i vilka den registrerade är eller avser att bli part. Exempel på personuppgiftsbehandling som kan vara nödvändig i samband med avtal är kund- och personaladministrativa system för bland annat fakturering respektive löneberäkning.

    Läs mer på Datainspektionens webbplats

  • Behandling av personuppgifter

    Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Ostrukturerat material undantas inte.

  • Dataportabilitet

    Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll till exempel i en annan social medietjänst (rätten till dataportabilitet). Den som har tagit emot personuppgifterna är skyldig att underlätta en sådan överflyttning av personuppgifter. En förutsättning är att denna behandlar personuppgifterna med stöd av ett samtycke från den registrerade eller för att uppfylla ett avtal med den registrerade och det gäller bara sådana personuppgifter som den registrerade själv har lämnat. Rätten till dataportabilitet är en nyhet i dataskyddsförordningen.

  • Dataskyddsombud

    Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Meddela Datainspektionen när ni utsett ett dataskyddsombud.

    Dataskyddsombudets kontaktuppgifter ska skickas till Datainspektionen. Tidigast den 1 mars 2018 kommer denna möjlighet att finnas på Datainspektionens webbplats.

  • Dataskyddspolicy

    • Informationstext om hur personuppgifter skyddas
    • Krav på rutiner för incidenthantering

    Kan även kallas informationssäkerhetspolicy.

  • Informationssäkerhetspolicy

    • Informationstext om hur personuppgifter skyddas
    • Krav på rutiner för incidenthantering

    Kan även kallas dataskyddspolicy.

  • Intresseavvägning

    Det kan vara tillåtet att behandla personuppgifter efter en intresseavvägning. Det krävs då att behandlingen är nödvändig för berättigade intressen och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Barn anses vara särskilt skyddsvärda. Myndigheter kan inte stödja sin behandling på en intresseavvägning när de behandlar personuppgifter som ett led i fullgörande av sina uppgifter. Sådan behandling får istället ske med stöd av lag eller annan författning (läs mer under Rättslig förpliktelse och Uppgift av allmänt intresse och myndighetsutövning).

    Om den registrerade invänder mot en pågående behandling måste den som behandlar personuppgifterna göra en ny intresseavvägning och upphöra med behandlingen om inte det finns tvingande berättigade skäl. Om den registrerade invänder mot behandling som sker för direkt marknadsföring måste behandlingen upphöra.

    Läs mer på Datainspektionens webbplats

  • Känsliga personuppgifter

    Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd i dataskyddsförordningen. Det handlar om så kallade känsliga personuppgifter som till exempel:

    • ras eller etniskt ursprung
    • hälsodata, t.ex. allergier och sjukfrånvaro
    • genetiska och biometriska data
    • religiös eller politisk åskådning
    • medlemskap i fackförbund
    • lagöverträdelser

    Utgångspunkten är att det är förbjudet att behandla sådana personuppgifter. Det finns dock flera undantag från förbudet. Även personnummer kan räknas till personuppgifter som är särskilt integritetskänsliga. 

  • Krypterade personuppgifter

    Även krypterade personuppgifter är enligt GDPR att betrakta som personuppgifter. 

    Det gäller även om den som har uppgifterna inte har tillgång till nyckeln för att få fram de faktiska personuppgifterna. Kryptering är alltså inte ett sätt att undvika regelverket, men väl en säkerhetsåtgärd som kan användas för att skydda lagrade personuppgifter.

  • Missbruksregeln

    I Sverige har vi den så kallade missbruksregeln som innebär enklare regler för personuppgifter i ostrukturerat material. När dataskyddsförordningen börjar gälla den 25 maj 2018 kan vi inte längre göra så. Då gäller samma regler för alla personuppgifter.

    Läs mer på Datainspektionens webbplats

  • NIS-direktivet

    NIS-direktivet innebär:

    Informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och omfattande digitala register.

    Läs mer om NIS-direktivet här

  • Personuppgift

    Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet, t.ex.

    • namn, adress och personnummer
    • fotografier och ljudupptagningar
    • IP-nummer
    • ”nicks” som används i ett datorspel eller liknande
  • Personuppgiftsansvarig

    Normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig.

  • Personuppgiftsbiträde

    • Den som behandlar personuppgifter för den personuppgiftsansvariges räkning
    • Ett personuppgiftsbiträde finns alltid utanför den egna organisationen
    • Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig till exempel anlitar en servicebyrå blir denna ett personuppgiftsbiträde
    • Ett skriftligt avtal måste upprättas
  • Personuppgiftshanteringspolicy/rutin

    • Informationstext om hur personuppgifter behandlas
    • Ska vara lättillgänglig för intressenter

    Kan även kallas Privacy policy.

  • Personuppgiftsincident (data breach)

    Enligt en särskild definition i förordningen definieras begreppet personuppgiftsincident som en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas. Det kan också vara fråga om en personuppgiftsincident om en säkerhetsincident leder till obehörigt röjande av eller obehörig åtkomst till de behandlade personuppgifterna. Personuppgiftsincidenter ska anmälas till Datainspektionen (Integritetsskyddsmyndigheten) inom 72 timmar från det att man upptäckt vad som hänt.

    Man behöver inte göra någon anmälan om det är osannolikt att incidenten leder till några risker för enskildas fri- och rättigheter. De risker man tänker på är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt.

    Läs mer om hur personuppgiftsincidenter ska hanteras på Datainspektionens webbplats

  • Personuppgiftsombud

    Ersätts i GDPR med Dataskyddsombud

    Den som behandlar personuppgifter måste i vissa fall utse ett dataskyddsombud. Ombudets roll är att kontrollera att dataskyddsförordningen (GDPR) följs inom organisationen genom att till exempel utföra kontroller och informationsinsatser. Meddela Datainspektionen när ni utsett ett dataskyddsombud.

    Dataskyddsombudets kontaktuppgifter ska skickas till Datainspektionen. Tidigast den 1 mars 2018 kommer denna möjlighet att finnas på Datainspektionens webbplats.

  • Personuppgiftssamling/register

    En strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

    För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för personuppgifter som tillhör fysiska personer vara teknikneutralt. Skyddet för fysiska personer bör vara tillämpligt på både automatiserad och manuell behandling av personuppgifter, om personuppgifterna ingår i eller är avsedda att ingå i ett register.

     

  • Privacy policy

    • Informationstext om hur personuppgifter behandlas
    • Ska vara lättillgänglig för intressenter

    Kan även kallas personuppgiftshanteringspolicy eller personuppgiftshanteringsrutin.

  • Rätten att ”bli bortglömd”

    Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas. Uppgifterna måste raderas i följande fall:

    • Om uppgifterna inte längre behövs för de ändamål som de samlades in för
    • Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket
    • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas

    Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse kan det vara berättigat att göra undantag från individens rätt att ”bli bortglömd”. I övriga fall är företag och organisationer skyldig att ha fungerande rutiner för att kunna ta bort personuppgifter på individens begäran.

  • Rättslig förpliktelse

    Personuppgifter får behandlas om det är nödvändigt för att uppfylla en rättslig förpliktelse. Den rättsliga förpliktelsen ska åligga den personuppgiftsansvarige och följa av EU-rätt eller svensk rätt. Som exempel på en rättslig förpliktelse kan nämnas bokföringsskyldigheten som anges i bokföringslagen.

    Läs mer på Datainspektionens webbplats

  • Rättslig grund för personuppgiftsbehandling

    För att det ska vara tillåtet att behandla personuppgifter måste det alltid finnas ett stöd i dataskyddsförordningen, en så kallad rättslig grund. En sådan rättslig grund är samtycke från den registrerade. Andra rättsliga grunder är om personuppgiftsbehandlingen är nödvändig för att fullgöra ett avtal med den registrerade, fullgöra en rättslig förpliktelse, skydda den registrerades grundläggande intressen, fullgöra en uppgift av allmänt intresse, för myndighetsutövning, samt efter en intresseavvägning.

    Förutom kravet på rättslig grund måste behandlingen också uppfylla övriga bestämmelser i förordningen. Kom ihåg att möjligheten att behandla personuppgifter begränsas av de grundläggande principerna för behandling av personuppgifter och de ytterligare krav som tillkommer för vissa typer av personuppgifter, till exempel känsliga personuppgifter och uppgifter om lagöverträdelser.

    Här kan du läsa om de olika typerna av rättslig grund för hantering av prsonuppgifter

    Läs mer på Datainspektionens webbplats

  • Samtycke

    I personuppgiftslagen definieras samtycke som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne.

    Ett samtycke ska vara:

    • individuellt
    • frivilligt
    • särskilt

    Samtycket ska vara individuellt. Det ska alltså vara den registrerade själv som med egen vilja godtar behandlingen av personuppgifter. Det räcker inte att till exempel en förening för sina medlemmars räkning godtar behandling av personuppgifter.

    Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken måste ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas.

    Här måste den personuppgiftsansvarige göra en bedömning av läget. Samtycke kan ju vara en förutsättning för att den registrerade ska få något som han eller hon önskar eller behöver. I de flesta fall vållar inte kravet på frivillighet några bekymmer utan den enskilde får, efter att ha fått information om behandlingen, själv ta ställning till om han eller hon accepterar den för att till exempel erhålla en vara eller tjänst. Konsekvensen av att man inte samtycker kan bli att man inte får varan eller tjänsten.

    Läs mer på Datainspektionens webbplats

  • Skydda grundläggande intressen

    Behandling av personuppgifter är tillåten om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för någon annan person. Det handlar om sådana intressen som är av avgörande betydelse för den registrerades eller någon annan persons liv. Som exempel kan nämnas personuppgiftsbehandling som är nödvändig för livsavgörande vård i akuta situationer då den registrerade inte kan lämna samtycke.

    Läs mer på Datainspektionens webbplats

  • Undantag från GDPR

    GDPR gäller för företag, organisationer, föreningar och myndigheter. Privatpersoner omfattas inte av GDPR. Det innebär att privatpersoner kan fortsätta att hantera personuppgifter på samma sätt som tidigare, men att företag, föreningar och myndigheter kan behöva förändra sina rutiner.

    Det finns dock särskilda undantag från GDPR som omfattar t.ex. sjukvården, försvaret och andra offentliga organ. Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt.

    Läs mer på Datainspektionens webbplats

  • Uppgift av allmänt intresse och myndighetsutövning

    Behandling av personuppgifter är tillåten om den är nödvändig för att utföra en uppgift av allmänt intresse. Uppgiften ska regleras i EU-rätt eller svensk rätt. Det innebär att uppgiften måste följa av lag eller annan författning eller av ett beslut som meddelats med stöd av lag eller annan författning. Det spelar ingen roll om den personuppgiftsansvarige som ska utföra uppgiften är en myndighet eller någon annan organisation.

    Behandling av personuppgifter är också tillåten om den är nödvändig som ett led i den personuppgiftsansvariges myndighetsutövning. Myndighetsutövningen ska grundas på EU-rätt eller svensk rätt. Det är i första hand statliga och kommunala myndigheter som kan behandla personuppgifter som ett led i myndighetsutövning. Privata aktörer kan dock i vissa fall anförtros myndighetsutövning.

    I Sverige är det vanligt att personuppgiftsbehandling som sker i samband med myndighetsutövning regleras i särskilda bestämmelser, så kallade registerförfattningar. Detta gäller till exempel för Skatteverkets verksamhet.

    När personuppgifter behandlas för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning kan den registrerade ha rätt att invända mot att personuppgifter behandlas. Den personuppgiftsansvarige måste då göra en bedömning av om det ändå finns tvingande och berättigade skäl för behandlingen som väger tyngre än den registrerades intressen. Om man kan visa att så är fallet får personuppgifterna fortsätta att behandlas.

    Läs mer på Datainspektionens webbplats