Definitioner och uttryck

Vad är ”privacy by design”?

Svar: "Privacy by design" kan översättas till "inbyggd integritet" och innebär i korthet att system ska designas för att:

• samla in så få personuppgifter som möjligt (bara sådana som är nödvändiga för syftet)
• behålla uppgifter så kort tid som möjligt (uppgifter ska raderas/anonymiseras så fort behovet av identifiering upphört)
• så få användare som möjligt ska ha tillgång till personuppgifter (bara användare som har en yrkesmässig anledning)
• uppgifter ska kunna skyddas under hela sin livscykel (insamling, transport, säkerhetskopiering, skrotning av lagringsmedia)

Datainspektionen har tagit fram en informativ pdf om Inbyggd integritet.

Vad är en personuppgift?

Svar: Allt som går att koppla till en enskild (levande) person är en personuppgift, oavsett om kopplingen är direkt eller indirekt.

Dataskyddsförordningens definition: ”Varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

Vad betyder ”personuppgiftsansvarig”?

Svar: Den som bestämmer över personuppgiftsbehandlingen är personuppgiftsansvarig. Personuppgiftsansvariga är så gott som alltid ett företag, en organisation eller en myndighet. Privatpersoner kan också vara personuppgiftsansvariga, men bara när hanteringen av personuppgifter sker för personens egen räkning och berör andra personer än den egna familjen eller hushållet.

Dataskyddsförordningens definition: ”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt”.

Vad betyder ”personuppgiftsbiträde”?

Svar: Ett personuppgiftsbiträde är en organisation eller person som behandlar personuppgifter för en personuppgiftsansvarigs räkning. Om du jobbar på ett företag som hanterar personuppgifter för ett annat företags räkning så är det din arbetsgivare som är personuppgiftsbiträde, inte du.

Dataskyddsförordningens definition: ”En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning”.

Vad betyder uttrycket ”behandling” i dataskyddsförordningen?

Svar: Med ”behandling” menas i dataskyddsförordningen all hantering av personuppgifter.

Dataskyddsförordningens definition: ”En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”.

Vad innebär ”begränsning av behandling”?

Svar: Registrerade personer har under vissa omständigheter rätt att kräva ”begränsning av behandling av personuppgifter”. Detta kan ske när den registrerade anser att uppgifterna är felaktiga, att de används utan laglig grund eller om personuppgiftsansvarig inte längre behöver uppgifterna men att den registrerade behöver dem av juridiska skäl. Så länge som behandlingen av personuppgifterna är ”begränsad” så får de bara användas när den registrerade samtycker till det eller om det krävs för att avgöra juridiska tvister.

Dataskyddsförordningens definition: ”Markering av lagrade personuppgifter, med syftet att begränsa (spärra) behandlingen av dessa i framtiden.”

Vad betyder ”profilering”?

Svar: Med ”profilering” menas i dataskyddsförordningen ”skiktning eller kategorisering av personer, baserad på de registrerades personuppgifter”.

Dataskyddsförordningens definition: ”Varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar”.

Vad betyder”pseudonymisering”?

Svar: ”Pseudonymisering är en teknik som gör det lättare att säkerhetsmässigt hantera personuppgifter. Pseudonymisering innebär att identifierande personuppgifter lagras skilda från övriga personuppgifter. Genom att lagra identifierande personuppgifter separat från övriga uppgifter, så blir det lättare att reglera säkerheten.”

Dataskyddsförordningens definition: ”Behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person”.

Vad är en ”personuppgiftsincident”?

Svar: En personuppgiftsincident är en händelse som leder till att personuppgifter kommer i orätta händer, förloras eller uppdateras felaktigt.

Dataskyddsförordningens definition: ”En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats”.