Så behärskar du GDPR - din enkla ordlista
Ett av syftena med GDPR är att det ska vara lätt för privatpersoner att förstå hur deras personuppgifter används. Kruxet är bara att terminologin inom GDPR inte är helt enkel att förstå – varken som privatperson eller för den som måste arbeta med det.
I detta blogginlägg har vi samlat de vanligaste begreppen som förekommer, och förklarat dessa så pedagogiskt och enkelt vi bara kan – utan att för den sakens skull tumma på juridiken.
De allra vanligaste begreppen som är viktiga att känna till:
Behandling - I stort sett allting som görs med personuppgifter inkluderas när det pratas om en behandling av personuppgifter. En synonym skulle kunna vara användning av personuppgifter. Här följer några exempel på vad som kan vara en behandling av personuppgifter:
- samla in
- skriva ut
- lämna ut
- publicera på hemsida
- gallra.
Personuppgift - Personuppgifter är i princip all information som säger något om en enskild fysisk person. Det är ett brett begrepp som kan inkludera alla möjliga slags upplysningar som går att koppla till en person, direkt eller indirekt. Vanliga exempel på personuppgifter är namn och personnummer, men begreppet kan omfatta mer än vad man först tänker på. Några andra exempel på personuppgifter är:
- adresser
- telefonnummer
- bilder på människor
- ljudinspelningar med röster
- ärendenummer
- lägenhetsnummer
- kundnummer.
Personuppgiftsansvarig (PUA) - En (oftast) juridisk person som bestämmer ändamålet med en behandling och hur behandlingen ska gå till. Även en fysisk person kan vara personuppgiftsansvarig, men oftast är det en juridisk person, en myndighet eller en organisation. Mer information om PUA och hur ansvaret fördelas finns i faktabladet “Vem är personuppgiftsansvarig?”.
Registrerad - Den som kan bli identifierad genom personuppgifterna kallas för en registrerad. Detta eftersom behandlingen (användningen) av personuppgifter ofta innebär att personen "registreras" i ett datasystem eller någon annan form av register.
Register över behandlingar eller Registerförteckning - Ett register med dokumentation som ger en helhetsbild av hur personuppgifter behandlas i ens organisation/verksamhet. Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett sådant register. Du kan läsa mer om register i blogginlägget “Håll er registerförteckning uppdaterad”.
Tillsynsmyndighet - En tillsynsmyndighet är en kontrollmyndighet. De ansvarar för att granska om andra lever upp till de krav som ställs inom en viss verksamhet eller ett visst verksamhetsområde. Det är regeringen som fattar beslut om vilka tillsynsmyndigheter som ska finnas. I Sverige heter tillsynsmyndigheten för personuppgifter “Integritetsskyddsmyndigheten”, IMY. Varje EU-land har sin egen tillsynsmyndighet. Förutom GDPR ser de även till att regler kring dataskydd i andra lagar följs, exempelvis kamerabevakningslagen och brottsdatalagen.
Ändamål med behandlingen - I standardtexter till varför någon behandlar personuppgifter står det ofta att “ändamålet med behandlingen är [utbetalning av lön]….”, men det hade i princip lika gärna kunnat stå “vi använder dina personuppgifter för att [kunna betala ut din lön]…” eller “vi använder dina personuppgifter så att vi kan [betala ut din lön]…”. Innebörden är densamma: det är en syftesförklaring.
Andra begrepp som ofta förekommer när du arbetar med GDPR:
Dataskydd – Det finns ingen juridisk definition på ordet dataskydd, men det räknas av många som hur en organisation säkerställer att ens data skyddas. Oftast syftar dataskydd specifikt på skydd av personuppgifter, trots att ordet data egentligen är betydligt vidare än så. Dataskydd grundar sig i de mänskliga rättigheterna - att få ha sina personuppgifter skyddade och respekterade. För att ens personuppgifter inte ska flöda fritt finns det flera lagstiftningar som organisationer måste följa. Främst är det GDPR så klart, men det kan även vara exempelvis offentlighets- och sekretesslagen eller patientdatalagen.
Dataskyddsförordningen – Ett annat ord för GDPR.
Dataskyddsombud (DSO) – En person vars roll är att granska och arbeta för att personuppgifter ska skötas enligt reglerna i GDPR, men som också kan ha andra uppgifter, exempelvis utbilda och stötta andra på företaget i GDPR-frågor. Det är ofta en roll som en person har utöver sina vanliga arbetsuppgifter. Ibland används istället engelskans begrepp, Data Protection Officer (DPO), men innebörden är densamma. Vill du läsa mer om vad rollen gör så hittar du det i faktabladet “Dataskyddsombudets roll i organisationen”.
Dataskyddsprinciper - I GDPR anges sju stycken principer. Dessa är grunden för all behandling av personuppgifter. Dessa sätter ramen för vad som är en tillåten behandling, och vad som är otillåten. Bland annat är det principerna som säger att ni inte får lagra mer personuppgifter än vad ni behöver, att personuppgifterna måste vara rätt och att personuppgifterna ska skyddas så att obehöriga inte får tillgång till dem. På IMYS webbplats förklaras principerna mer i detalj.
DPIA / Konsekvensbedömning – En särskild typ av riskbedömning. Du måste göra en konsekvensbedömning enligt GDPR i vissa fall, för att säkerställa att “de registrerades fri- och rättigheter skyddas”. Det innebär bland annat att beskriva behandlingen noggrant och systematiskt och ta ställning till en massa frågor utifrån ett riskperspektiv. Sen behöver ni även dokumentera hur ni arbetar med riskerna kopplade till svaren.
Känslig personuppgift – Känsliga personuppgifter är särskilda kategorier av uppgifter som till sin natur är mer känsliga än andra uppgifter. De har därför ett starkare skydd enligt GDPR. I regel är det förbjudet att behandla dessa uppgifter men undantag finns. Känsliga personuppgifter är uppgifter om en persons
- etniska ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa (alla aspekter av en persons hälsa, till exempel uppgifter om sjukdom eller funktionshinder)
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter (ens persons "nedärvda eller förvärvade genetiska kännetecken”, skriver IMY på sin webbplats. Ett exempel på en generisk uppgift är en DNA-profil).
- biometriska uppgifter som används för att entydigt identifiera en person (till exempel fingeravtrycksavläsning eller ögonskanning. Det kan också röra sig om foton som i kombination med teknik möjliggör ansiktsigenkänning).
Personuppgiftsbiträde (PUB) – Detta förklaras enklast med ett exempel. Vi säger att vi på Visma Draftit är ansvarig för de anställdas personuppgifter, men behöver lägga in uppgifterna i ett lönesystem (som vi inte äger själva) för att kunna göra utbetalningar för de anställdas löner. Bolaget som äger lönesystemet blir då personuppgiftsbiträde till oss; våra personuppgifter finns i deras system och de hanterar dem för vår räkning.
Personuppgiftsbiträdesavtal (PUB-avtal) – Detta fortsätter från exemplet ovan. Enligt GDPR måste vi på Visma Draftit ha ett avtal med bolaget som äger lönesystemet. Avtalet ska säkerställa hanteringen av ‘våra’ personuppgifter. Ett sådant avtal kallas biträdesavtal eller PUB-avtal.
Personuppgiftsincident – Det är precis som namnet antyder en incident där personuppgifter varit inblandade. Mer detaljerat beskrivet så är det en säkerhetsincident som leder till att personuppgifter förstörs, inte är tillgängliga när dom ska, ändras eller går förlorade, eller att obehöriga får tillgång till personuppgifter. Den vanligaste typen av personuppgiftsincidenter är de enklare sakerna, som att skicka mail till fel person, att glömma ett papper med personuppgifter i skrivaren på jobbet eller att råka radera fel fil. Men det kan också röra sig om en hackerattack där personuppgifter läcks ut eller ett strömavbrott där personuppgifterna inte går att nås vid ett visst tillfälle. Du kan läsa mer om personuppgiftsincidenter i faktabladet “Så hanterar du personuppgiftsincidenter”.
Registerutdrag – I GDPR finns något som heter “rätten till tillgång”. Det betyder att personer vars personuppgifter behandlas i en verksamhet har rätt att få insyn i om de egna uppgifterna behandlas där, och i så fall få tillgång till personuppgifterna. Detta brukar ibland kallas för ett registerutdrag. Den som får en begäran om tillgång har normalt max en månad på sig att plocka ut uppgifterna och leverera en kopia av dem till personen i fråga.
Rätten till information – En annan rättighet som finns inskriven i GDPR är rätten till information. Personerna vars personuppgifter behandlas har rätt att bli informerade om hur detta görs, och varför. Den informationen ska man inte bara lämna om någon aktivt begär den, utan den ska personuppgiftsansvariga lämna helt självmant. IMY skriver mer på sin webbplats om den behandlades rätt till information.
Rättslig grund – För att en verksamhet ska få behandla personuppgifter måste den kunna motivera sin behandling med rättslig grund. En rättslig grund kan alltså förklaras som en anledning till varför personuppgifterna används. Det finns sex rättsliga grunder. Finns det ingen rättslig grund, eller finns det inte någon som passar din behandling? Ja, då är behandlingen inte laglig och ni behöver tänka om. Du kan läsa mer om vilka de rättsliga grunderna är på vår webbplats. IMY rekommenderar att endast välja en rättslig grund per visst ändamål.
Sanktioner – En organisation som inte följer GDPR kan drabbas av sanktioner. Tillsynsmyndigheter och domstolar kan besluta om olika typer av straff och begränsningar för de verksamheter som bryter mot lagstiftningen. Det kan handla om bland annat reprimander och varningar, men mest kända är de så kallade administrativa sanktionsavgifterna – en slags straffavgift alltså. De maximala sanktionsavgifterna är satta till 20 miljoner euro, eller 4 % av bolagets globala årsomsättning. Det kan bli oerhört kostsamt att göra fel.
Tredje part – Med tredje part menas andra än den vars personuppgifter används (den registrerade), den personuppgiftsansvarige eller ett personuppgiftsbiträde. Skillnaden på tredje part och ett biträde är att tredje part använder personuppgifterna för ett eget syfte. Ett biträde använder personuppgifterna för att utföra något för den personuppgiftsansvariges räkning.
Tredjeland – Med tredjeland menas länder utanför EU:s inre marknad, alltså länder som inte är medlemmar i EU/EES. Några exempel på tredjeländer är USA, Kina, Indien och Argentina, men också de europeiska länder som inte är medlemmar i EU/EES. Storbritannien är ett tredjeland sedan de lämnade EU, och likaså Schweiz. Även internationella organisationer omfattas av samma regler som tredjeländer.
Tredjelandsöverföring - Med överföring till tredjeland menas i stort sett alla sammanhang då personuppgifter hamnar eller blir tillgängliga utanför EU/EES. Det finns strikta regler i GDPR för när det är tillåtet. Detta gäller all överföring, även till personuppgiftsbiträden som inte själva använder personuppgifterna i sin verksamhet utan bara lagrar, driftar, supportar, utvecklar, underhåller och/eller servar systemet. Tänk på att ordet överföring även omfattar åtkomst till personuppgifterna i tredjeland. Detta gäller även om de lagras inom EU/EES. Du kan läsa mer om tredjelandsöverföring i faktabladet “Överföring till tredjeland”.