Till innehållet
Meny
Kalender Kyrkor Lyssna med webReader

GDPR Definitioner och begrepp

Definitioner, principer och begrepp inom GDPR.

Vad är GDPR?​

GDPR står för General Data Protection Regulation, den svenska översättningen är dataskyddsförordningen. Det är en EU-lagstiftning som Sverige ska tillämpa direkt, precis som om det vore en svensk lag. GDPR handlar om att privatpersoner ska kunna kontrollera vem som har deras personuppgifter och i vilken utsträckning. Företag får endast samla in de personuppgifter som de behöver och de måste hantera uppgifterna på rätt sätt. ​

Syftet med GDPR är att uppnå en enhetlig dataskyddsreglering i EU, och på så sätt stärka individers rättigheter. Många av GDPR:s regler liknar de som idag finns i personuppgiftslagen (PUL). De största förändringarna jämfört med PUL är dock just att de registrerades (personerna vars uppgifter behandlas av en personuppgiftsansvarig) rättigheter utökas, att sanktioner som drabbar sådana personuppgiftsansvariga vars personuppgiftsbehandling inte följer lagen blir hårdare, och att kraven på personuppgiftsansvariga i övrigt skärps.​I och med att GDPR träder i kraft den 25 maj 2018 har svenska företag och myndigheter ett stort arbete framför sig med att se till att de lever upp till GDPR:s krav​. 

Vad är personuppgifter?

​Med personuppgifter menas all information ("varje upplysning") som direkt eller indirekt går att koppla till en identifierbar levande person, särskilt med hänvisning till en identifierare såsom namn, personnummer, lokaliseringsuppgifter eller onlineidentifikatorer eller faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. E-postadresser, telefonnummer och bilder är några vanliga exempel på personuppgifter.

Elektroniska identiteter kan räknas som personuppgifter om de går att koppla till levande personer. Exempel är IP-nummer, eller cookies som lagrar information om en användares besök på en webbplats. Även uppgifter som är krypterade, anonymiserade eller på annat sätt avidentifierade är personuppgifter om de med hjälp av kompletterande information (och utan ett allt för omfattande arbete) kan kopplas till en fysisk levande person.

Uppgifterna måste finnas i någon form av register för att täckas av GDPR. En sko är inte en personuppgift enligt GDPR när den bärs av en levande person, men om en skomakare skriver upp i sitt register vem skon tillhör kan den informationen anses vara en personuppgift.​​​

Vilka är konsekvenserna av att inte följa GDPR?

​Till skillnad från vad som gäller enligt PUL, kommer GDPR inte att medföra någon risk för böter eller fängelse vid olaglig personuppgiftsbehandling. Däremot introduceras höga så kallade sanktionsavgifter som kan komma i fråga för personuppgiftsansvariga företag som bryter mot GDPR:s bestämmelser. Dessa sanktionsavgifter, som har ett tak på 20 000 000 EUR, har utan tvekan en potential att bringa företag och organisationer i konkurs. I Sverige har det dessutom föreslagits att även myndigheter ska kunna drabbas av sanktionsavgifter, dock endast upp till ett tak på 20 000 000 SEK.

 Sanktionsavgifter är dock inte det enda personuppgiftsansvariga behöver oroa sig för – fysiska personer som har "lidit materiell eller immateriell skada till följd av en överträdelse av [GDPR]" kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet. I praktiken är detta troligtvis den största risken, eftersom Datainspektionen i nuläget har långt ifrån de resurser som skulle krävas för att se så att GDPR följs.

Grundläggande definitioner​

Behandling - Alla åtgärder som vidtas i fråga om personuppgifter, t.ex. insamling, lagring och bearbetning.  

Personuppgiftsansvarig - Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsbiträde - Den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Alla som kommer åt eller kan komma åt personuppgifter är personuppgiftsbiträden, t.ex. leverantörer av system innehållande personuppgifter.

Registrerade - De fysiska, levande personer vars personuppgifter behandlas.

Tillsynsmyndighet - Den nationella myndighet som ska övervaka att GDPR efterlevs i landet. I Sverige är det Datainspektionen (DI) som kommer att vara tillsynsmyndighet enligt GDPR (se Grundläggande definitioner). På DI:s hemsida (www.datainspektionen.se) läggs kontinuerligt ut information om dataskyddsreformen samt om hur GDPR ska tolkas och efterlevas.

Grundläggande principer

GDPR har sex grundläggande principer för personuppgiftsbehandling: 

  1. Laglighet, korrekthet och öppenhet. Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt gentemot den registrerade.
  2. Ändamålsbegränsning. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och får senare inte behandlas på ett sätt som går emot dessa ändamål.
  3. Uppgiftsminimering. Personuppgifter ska vara adekvata, relevanta och inte för omfattande för behandlingens ändamål.
  4. Korrekthet. Personuppgifter ska vara korrekta och uppdateras vid behov.
  5. Lagringsminimering. Personuppgifter får inte lagras på ett sådant sätt att de kan användas för att identifiera en registrerad under en längre period än vad behandlingsändamålen kräver.
  6. Integritet och konfidentialitet. Lämplig säkerhet ska säkerställas för personuppgifter som behandlas, så att obehörig eller otillåten behandling, förlust, förstöring eller skada genom olyckshändelse kan undvikas.​

​Lagliga grunder

​För att få behandla personuppgifter måste behandlingen vila på dels ett berättigat ändamål (se Grundläggande principer), dels minst en av de lagliga grunder som räknas upp i GDPR. Genom att bygga på en laglig grund uppfylls även den första dataskyddsprincipen – att personuppgifterna behandlas på ett lagligt sätt.

Lagliga grunder 

För att få behandla personuppgifter måste behandlingen vila på dels ett berättigat ändamål (se Grundläggande principer), dels minst en av de lagliga grunder som räknas upp i GDPR. Genom att bygga på en laglig grund uppfylls även den första dataskyddsprincipen – att personuppgifterna behandlas på ett lagligt sätt.

  • Samtycke. Den registrerade har lämnat entydigt, frivilligt och specifikt samtycke.
  • Avtal. Behandlingen är nödvändig för att fullgöra eller ingå ett avtal.
  • Rättslig förpliktelse. Behandlingen är nödvändig för att kunna fullgöra en rättslig förpliktelse.
  • Intresseavvägning. Grundläggande intresse: Behandlingen är nödvändig för att skydda en fysisk persons grundläggande intressen.

Allmänt intresse: Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Myndighetsutövning: Behandlingen är nödvändig som ett led i myndighetsutövning.

Berättigat intresse: Behandlingen är nödvändig för ett berättigat intresse hos den personuppgiftsansvarige eller en tredje part, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre.

När personuppgifter samlas in ska den registrerade få information om bland annat vilken laglig grund behandlingen av hens personuppgifter vilar på. Det måste därför säkerställas redan innan uppgifterna samlas in vilken laglig grund som är aktuell. Det räcker dock inte att det finns en laglig grund för behandlingen – den måste fortfarande uppfylla resten av kraven som ställs upp i GDPR, såsom de grundläggande principerna.

Vad är skillnaden mellan de lagliga grunderna samtycke och avtal?

Skillnaden mellan de lagliga grunderna samtycke och avtal är att ett samtycke är frivilligt och kan ges för personuppgifter som inte är strikt nödvändiga att behandla, medan ett avtal kräver viss behandling av personuppgifter.

Exempel:

  • För att kunna veta vilka som är medlemmar och inte behöver ni ha deras personuppgifter. Ni behöver även kontaktuppgifter för att kunna ha medlemsvård. Lagringen av kontaktuppgifterna grundar sig då på avtal, eftersom den är nödvändig för att kunna uppfylla avtalet som medlemskapet innebär.​
  • Inför ett läger är det bra för er att veta vad de medverkande har för allergier. Men eftersom sådan information inte är nödvändig för att avtalet (att medverka på läger) ska kunna uppfyllas, måste den medverkande samtycka till att uppgifter om allergi sparas.​

Vad krävs för att publicera bilder i församlingsbladet och på webben?

Tidningar som har ansvariga utgivare får publicera bilder utan att inhämta tillåtelse på något sätt. I de fallen agerar de som skriver och publicerar bilder som journalister och behöver bara ta hänsyn till att inte begå exempelvis förtal, förolämpning, högförräderi och olaga hot.

För annan typ av publicering eller spridning, behövs samtycke från de personer som går att identifiera på bilderna. Samtycket behöver inte vara skriftligt, men det är församlingen som har bevisbördan. Av den anledningen rekommenderas att det dokumenteras på något sätt.

Frivilligarbetare

Objektivt sätt anses det att frivilligarbetare utgör arbete å Svenska Kyrkans vägnar. Därmed ligger ansvaret för hur de hanterar personuppgifter på respektive församling/pastorat/stift. Därför rekommenderas att samtliga frivilligarbetare har skrivit under sekretessavtal där det bland annat framgår hur de ska tänka när de hanterar personuppgifter.

Uppdaterad: