Vad är personuppgifter?

Med personuppgifter avses all information som rör en identifierad eller identifierbar person.

Exempel på den typ av information som kan göra det möjligt att direkt eller indirekt identifiera en enskild person, och därmed betraktas som personuppgifter, är följande:

  • namn, efternamn, telefonnummer till kunder, intressenter, anställda, leverantörer
  • identifikationsnummer, t.ex. en individs kundnummer, en individs personnummer
  • en bokningsreferens
  • e-postadresser, platsdata
  • en persons surfhistorik
  • en persons inköpshistorik och kvitton
  • foton, videor och ljudinspelningar som innehåller bilder eller ljud från individer

Med dessa personuppgifter kan en person identifieras direkt eller indirekt:

  • om din organisation till exempel behandlar en persons namn eller efternamn, möjliggör dessa personuppgifter direkt identifiering av denna person
  • om din organisation till exempel behandlar en persons kundnummer eller bokningsreferens kan dessa personuppgifter göra det möjligt att indirekt identifiera den personen
  • Alla typer av information som behandlas i förhållande till den enskilde direkt eller indirekt identifierad (dvs. preferenser, vanor) kommer också att betraktas som personuppgifter

Särskilda kategorier av personuppgifter

Vissa typer av personuppgifter, vanligtvis kallade känsliga uppgifter, tillhör särskilda kategorier som är mer skyddsvärda. Enligt artikel 9 i GDPR omfattar känsliga uppgifter sådana uppgifter som avslöjar information om:

  • en individs hälsa
  • en persons sexliv eller sexuella läggning
  • en persons ras eller etniska ursprung
  • en persons politiska åsikter, religiösa eller filosofiska övertygelser
  • en persons biometriska och genetiska uppgifter
  • fackföreningsmedlemskap

Behandling av känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen (t.ex. uttryckligt samtycke).

För mer information om de omständigheter under vilka känsliga uppgifter kan behandlas se Behandling av personuppgifter lagligt

 

Personuppgifter om fällande domar i brottmål och överträdelser

Behandlingen av personuppgifter som rör fällande domar i brottmål och överträdelser är föremål för strikta rättsliga villkor. Dessa personuppgifter kan endast behandlas av en offentlig myndighet, t.ex. polisen, under kontroll av en offentlig myndighet eller när det är tillåtet enligt nationell lagstiftning.

Checklista för ert dataskyddsarbete

  • Fråga er själva om syftet för vilket personuppgifter kan samlas in är motiverat
  • Samla endast in personuppgifter som är nödvändiga för det eller de specifika ändamål som förutses
  • Informera individer om hur och för vilka ändamål deras personuppgifter kan komma att behandlas
  • Kontrollera om ni har en lämplig rättslig grund för behandlingen av personuppgifter. Om ni har för avsikt att förlita er på samtycke från enskilda personer, be om deras samtycke innan ni behandlar deras personuppgifter
  • Se till att enskildas personuppgifter hanteras på ett säkert sätt
  • Se till att enskildas personuppgifter är korrekta och uppdaterade
  • Radera individers personuppgifter när de inte längre behövs. Tänk på att nationell lagstiftning kan tvinga er att behålla vissa uppgifter (t.ex. av skatteskäl)

Vad innebär behandling av personuppgifter?

Behandlingen av enskildas personuppgifter omfattar alla typer av aktiviteter (behandling) som utförs med eller om enskilda personers personuppgifter oavsett om de sker automatiserat eller inte

Exempel på behandling är insamling, registrering, organisering, användning, ändring, lagring, utlämnande av enskildas personuppgifter

Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkivskåp

Gäller GDPR för er organisation?

GDPR kan gälla för alla privata och offentliga organisationer om:

  • organisationen i fråga är etablerad i EU eller i Europeiska ekonomiska samarbetsområdet (EES-EU-länder + Island, Liechtenstein och Norge) eller
  • organisationen inte är etablerad inom EES, men dess produkter eller tjänster erbjuds till personer som befinner sig inom EES, eller organisationen övervakar beteendet hos individer som befinner sig inom EES

GDPR gäller också på samma sätt för alla underleverantörer som kan behandla enskildas personuppgifter på uppdrag av en privat eller offentlig organisation.

I praktiken gäller GDPR för er om något av följande villkor gäller

  • Ni är ett företag som är baserat i ett EES-land
  • Ni är en organisation, baserad i ett land utanför EES, som säljer varor eller erbjuder tjänster, även gratis, som riktar sig till individer i ett EES-land
  • Ni är ett IT-företag baserat i ett land utanför EES som har lagts ut på entreprenad av en privat organisation baserad inom EES för att hantera sina IT-databaser, till exempel en kunddatabas
  • Ni är en tjänsteleverantör baserad inom EES och behandlar personuppgifter på uppdrag av ett annat företag

De viktigaste principerna i GDPR

Vid behandling av enskildas personuppgifter måste er organisation följa följande 6 nyckelprinciper i GDPR. Dessutom måste er organisation kunna visa att den följer dessa principer.

 

Laglighet, rättvisa och öppenhet

 

All behandling av personuppgifter måste vara laglig, rättvis och transparent.

Er organisation kan endast behandla en persons personuppgifter om den planerade behandlingen är laglig, det vill säga om den är baserad på den enskildes samtycke, nödvändig för fullgörandet av ett avtal, eller baserad på någon av de andra rättsliga grunderna för behandling av uppgifter som nämns i artikel 6 i GDPR.

Om behandlingen grundar sig på samtycke måste er organisation säkerställa att detta samtycke ges fritt, informerat, specifikt och entydigt. Med andra ord får det inte råda något tvivel om att individer är medvetna om vad de samtycker till, för vilka ändamål behandlingen görs, och att detta samtycke gavs aktivt innan behandlingen inleddes. Dessutom bör enskilda personer fritt kunna dra tillbaka sitt samtycke. Om ni inser att behandlingen av deras uppgifter ändå kommer att vara nödvändig (dvs. i samband med ett avtal), innebär det att samtycke inte är den lämpliga rättsliga grunden.

Ändamålsbegränsning

Er organisation kan endast samla in personuppgifter för angivna, uttryckliga och legitima ändamål. Behandlingen av en persons uppgifter måste vara strikt begränsad till det eller de ändamål som ursprungligen fastställdes och uppgifterna kan därför inte behandlas för efterföljande eller andra ändamål som är oförenliga med de ursprungliga ändamålen.

 

Uppgiftsminimering

Er organisation kan endast behandla personuppgifter som är nödvändiga och proportionerliga mot bakgrund av det avsedda ändamålet.

 

Noggrannhet

De personuppgifter som er organisation behandlar måste vara korrekta och hållas uppdaterade. Felaktiga personuppgifter måste rättas eller raderas.

 

Lagringsbegränsning

Lagringen av enskildas personuppgifter måste vara tidsbegränsad med hänsyn till det ändamål för vilket dessa uppgifter samlades in och behandlades. Enskilda personers personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga. I praktiken innebär det att er organisation bör ha en intern policy gällande lagringsperioder för olika ändamål samt ett förfarande för radering av uppgifter.

 

Säkerhet

Behandlingen av enskildas uppgifter måste ske på ett säkert sätt. I detta avseende måste robusta dataskyddsåtgärder, t.ex. lämpliga it-säkerhetsåtgärder, införas för att säkerställa att enskilda personers uppgifter skyddas på ett adekvat sätt. Dessa åtgärder ska förhindra oavsiktligt, otillåtet eller olagligt röjande, förlust, förstörelse eller skada av enskildas personuppgifter.