Viktiga begrepp

Behandling

Med behandling av personuppgifter menas allt du gör med personuppgifter. Till exempel samla in, ta emot, anteckna, registrera, fotografera, filma, spela in, lagra, läsa, ändra, redigera, organisera, sammanställa, samköra, kopiera, radera, skriva ut, publicera, skicka eller på annat sätt överföra.

Dataskyddsförordningen gäller för all behandling av personuppgifter som är digital. Hit räknas även behandling som är delvis digital, till exempel när personuppgifter samlas in i en pappersenkät som sedan förs över i Word.

Dataskyddsförordningen gäller dessutom helt pappersbunden behandling av personuppgifter, om personuppgifterna ingår eller kommer att ingå i ett manuellt register som är sökbart.

Personuppgifter

Med personuppgifter menas alla uppgifter som ensamt, eller i kombination med andra uppgifter som du själv eller någon annan har tillgång till, direkt eller indirekt, kan knytas till en fysisk person som är i livet.

Exempel på vanliga personuppgifter är namn, personnummer och telefonnummer. Foto och film på personer är personuppgifter. Till och med en persons röst är i regel en personuppgift även om det inte nämns några namn på inspelningen.

Elektroniska identiteter som IP-nummer, e-postadress, signatur, användarnamn och pseudonym på webben och i sociala medier är personuppgifter.

Sifferkombinationer och beteckningar av olika slag, till exempel kortnummer, passnummer, ärendenummer och registreringsnummer, kan vara personuppgifter om de går att knyta till en fysisk person medan beteckningar som hör till saker som används av flera kanske inte är personuppgifter.

Aktiebolag eller andra juridiska personerns organisationsnummer är inte personuppgifter. Däremot är organisationsnummer personuppgifter i fråga om enskilda näringsidkare, eftersom organisationsnummer då är detsamma som personnummer.

Vissa titlar och befattningar kan vara personuppgifter, till exempel rektor på Högskolan i Borås. Även levnadsbeskrivningar eller beskrivningar av metod och urval i studier kan vara personuppgifter om deltagare direkt eller indirekt kan identifieras.

Personuppgifter som har krypterats, det vill säga gjorts oläsliga för andra än de som har tillgång till en så kallad kodnyckel, är fortfarande personuppgifter.

Känsliga personuppgifter

Dataskyddsförordningen skiljer mellan ”vanliga” personuppgifter och känsliga personuppgifter. Känsliga personuppgifter är förbjudna att behandla utom i undantagsfall, och de måste då skyddas mer än andra personuppgifter.

Känsliga personuppgifter i dataskyddsförordningens mening är alla uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och medlemskap i fackförening. Genetiska uppgifter, biometriska uppgifter, till exempel foto för ansiktsigenkänning, samt uppgifter om sexualliv, sexuell läggning och hälsa räknas också som känsliga personuppgifter.

Uppgifter om hälsa är vanliga och omfattar till exempel uppgifter om matallergier, sjukfrånvaro, besök och undersökningar inom hälso- och sjukvården, sjukdom eller annan fysisk eller psykisk ohälsa, graviditet, särskilda behov och funktionsvariationer.

Läs mer om känsliga personuppgifter

Extra skyddsvärda personuppgifter

Personuppgifter som inte är känsliga kan ändå vara extra skyddsvärda. Med undantag av personnummer finns det inga särskilda regler för när extra skyddsvärda personuppgifter får behandlas. Det innebär att sådana uppgifter får behandlas med stöd av samma rättsliga grunder som ”vanliga” personuppgifter. Däremot måste de skyddas mer än andra personuppgifter.

Till skillnad från känsliga personuppgifter finns det ingen definition i lag av vilka uppgifter som är extra skyddsvärda. Exempel på personuppgifter som Integritetsskyddsmyndigheten anser vara extra skyddsvärda är personnummer, vissa uppgifter om lön, skyddade personuppgifter, sekretessbelagda uppgifter, uppgifter om lagöverträdelser, uppgifter om sociala förhållanden, uppgifter som ligger nära den privata sfären samt beskrivningar och värderingar av personliga egenskaper.

 Läs mer om extra skyddsvärda personuppgifter

De registrerade

Ett annat vanligt förekommande begrepp i dataskyddsförordningen som är viktigt att känna till är de registrerade. De registrerade är de vars personuppgifter behandlas. Beroende på sammanhanget kan det till exempel vara anställda, studenter, användare av en viss sak, forskningsdeltagare, barn, osv.