Med personuppgifter avses alla uppgifter som anknyter till en identifierad eller identifierbar person. Personuppgifter är till exempel namn, telefonnummer, positionsuppgifter eller uppgifter om far- och morföräldrars genetiska sjukdomar.
En personuppgiftsansvarig är en enskild eller organisation, som fastställer för vilket syfte och på vilket sätt personuppgifter behandlas. En personuppgiftsansvarig kan exempelvis vara en förening som samlar in uppgifter om sina medlemmar, ett sjukhus som behandlar patientuppgifter, en nätbutik eller en tjänst inom sociala medier.
Med personuppgiftsbiträde avses en människa eller organisation, som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde kan vara till exempel en marknadsföringsbyrå som sköter ett annat företags marknadsföring eller en IT-serviceleverantör med tillgång till den personuppgiftsansvariges personuppgifter.
Dataskyddsprinciper vid behandling av personuppgifter
Vid behandling av personuppgifter ska dataskyddsprinciperna enligt dataskyddslagstiftningen alltid iakttas.
Enligt dataskyddsprinciperna ska personuppgifter:
- behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.
- behandlas konfidentiellt och säkert
- insamlas och behandlas i ett visst, uttryckligt och lagligt syfte
- insamlas endast i den grad som de behövs med tanke på syftet med behandlingen av personuppgifter
- alltid uppdateras vid behov ‒ inexakta och felaktiga personuppgifter ska raderas eller rättas utan dröjsmål
- förvaras i en form som möjliggör identifiering av den registrerade endast så länge som är nödvändigt för de ändamål för vilka personuppgifterna behandlas
När får personuppgifter behandlas?
Dataskyddsförordningen omfattar sex olika grunder, som möjliggör behandling av personuppgifter:
- ett samtycke av den registrerade
- ett avtal
- en rättslig förpliktelse för den personuppgiftsansvarige
- skydd av vitala intressen
- en uppgift som gäller ett allmänt intresse eller offentlig makt
- ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part.
En registrerad kan samtycka till att hans eller hennes personuppgifter behandlas. Ett sådant samtycke ska vara en frivillig, specifik, informerad och otvetydig viljeyttring, med vilken den registrerade godkänner att hans eller hennes personuppgifter behandlas. Den registrerade kan till exempel ge en skriftlig eller muntlig förklaring som gäller samtycket eller uttrycka sitt samtycke med en annan tydlig åtgärd, såsom att kryssa för en ruta på en webbsida. Samtycket ska kunna återkallas lika enkelt som det lämnats.
Den personuppgiftsansvarige ska kunna visa att ett lagstadgat samtycke finns.