Är det ni tänkt göra förenligt med GDPR?

Alla verksamheter som hanterar personuppgifter måste följa GDPR (dataskyddsförordningen) som är ett regelverk som finns till för att skydda personuppgifter. Reglerna gäller i hela EU. Vid sidan om GDPR finns nationella regler som kompletterar dataskyddsförordningen. Ett exempel är Patientdatalagen som reglerar hur personuppgifter får hanteras inom hälso- och sjukvården.

Mer om reglerna på dataskyddsområdet och hur de hänger samman

GDPR gäller inte allt det som kallas för data, utan endast data som omfattar personuppgifter. Därför är det bra att veta om ens datasamling innehåller personuppgifter.

Vad är då det?

Jo, med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Inte bara namn, adress och personnummer, eller foton på personer, utan även ljud- och filminspelningar och GPS-positioner, kan vara personuppgifter om uppgifterna kan knytas till en levande person. Biometriska uppgifter, uppgifter med fysiska eller beteendemässiga kännetecken, som till exempel DNA, fingeravtryck och rörelsemönster kan vara personuppgifter.

Personuppgiftsbehandling är allting man gör när man hanterar personuppgifter: samlar in, sparar, delar (till exempel vid datadelning), sorterar, publicerar, lagrar, förmedlar, raderar och så vidare.

Utifrån benämningen personuppgiftsansvarig kan man förledas att tro att det alltid är en fysisk person som är ansvarig, men så är det ganska sällan. Personuppgiftsansvarig är den som bestämmer för vilka ändamål som personuppgifterna får hanteras och hur den hanteringen ska gå till. Hantering av personuppgifter kallas som beskrivits ovan personuppgiftsbehandling i GDPR.

Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en myndighet. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, vilket till exempel är fallet för enskilda firmor. Om två eller flera parter tillsammans bestämmer över en viss behandling är de gemensamt personuppgiftsansvariga. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter, som förvaring av personuppgifterna, till någon annan men personuppgiftsansvaret kan aldrig avtalas bort. Den som bestämmer över behandlingen är ansvarig.

Personuppgiftsbiträde är den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas egen organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Exempelvis är ofta molntjänstföretag eller andra externa leverantörer av IT-tjänster personuppgiftsbiträden när de lagrar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde skulle exempelvis kunna vara en som tillhandahåller en dataplattform för så kallad maskininlärning.

Ett personuppgiftsbiträde och dess personal får bara behandla personuppgifter enligt instruktioner från den personuppgiftsansvariga och avtal mellan parterna måste finnas, ett så kallat personuppgiftsbiträdesavtal.

Läs mer om personuppgiftsbiträdesavtal