Ordlista

Med anonymisering avses att personuppgifter behandlas på så sätt att den registrerade personen inte längre kan identifieras utifrån dessa, inte ens med hjälp av ytterligare information (jfr pseudonymisering).

Den registeransvarige som behandlar personuppgifter är skyldig att i konkret dokumentation visa att hen agerar i enlighet med förordningen och har ombesörjt följande aspekter av behandlingen av personuppgifter:

• laglighet, rimlighet och öppenhet
• ändamålsbegränsning
• minimering av uppgifter
• exakthet
• begränsning av lagring samt
• integritet och konfidentialitet.

Ett beslut som syftar till att bedöma vissa egenskaper hos en registrerad person som enbart grundar sig på automatiserad uppgiftsbehandling och som har rättsverkningar för den registrerade eller som på annat sätt har en betydande inverkan på honom eller henne. (Anmälningsskyldighet till dataombudsmannen).

Alla typer av funktioner som riktar sig mot personuppgifter, antingen med hjälp av automatisk uppgiftsbehandling eller manuellt. Behandlingen omfattar till exempel insamling, lagring, organisering, strukturering, förvaring, ändring, hämtning, användning, avslöjande, distribution eller på annat sätt tillgängliggörande, samordning, aggregering, begränsning, radering och förstörelse av personuppgifter.

I praktiken baseras behandlingen av personuppgifter vanligtvis på ett av dessa tre kriterier, och därför krävs inte alltid personens samtycke:

1. Legitimt intresse:

Organisationer anses ha olika legitima intressen som motiverar till att de kan samla in och behandla personuppgifter. Legitima intressen är relaterade till aktiviteter som direktmarknadsföring, kundservice eller produkt- och tjänsteutveckling.

2. Avtal:

Personuppgifter får behandlas i situationer där den registrerade är avtalspart eller när, på begäran av den registrerade, åtgärder som rör personuppgifter måste vidtas vid tidpunkten för avtalets upprättande.

3. Samtycke:

Det sätt på vilket den registrerade samtycker till behandling av personuppgifter.

Utförande av en offentlig uppgift eller en lagstadgad skyldighet kan också utgöra underlag för behandling, till exempel när ett företag uppfyller skyldigheter enligt penningtvättslagstiftningen.

En roll som ska tilldelas i organisationen och som krävs i följande situationer:

• om behandlingen av uppgifter genomförs av en myndighet eller ett offentligt organ (annan än en domstol),
• kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller
• kärnverksamheten består av behandling som inriktar sig på specifika kategorier av personuppgifter som rör fällande domar i brottmål och lagbrott.

Förordningen definierar också dataskyddsombudets roll och arbetsbeskrivning. Arbetsbeskrivningen omfattar beaktande av de säkerhetsfrågor som definieras i förordningen i organisationens verksamhet. Dataskyddsombudet fungerar även som kontaktperson när den registrerade vill ta del av, ändra eller radera sina personuppgifter från registret. En koncern kan utse ett dataskyddsombud och ett dataskyddsombud kan utses för fler än en myndighet eller ett offentligt förvaltningsorgan.

Alla uppgifter relaterade till en identifierad eller identifierbar fysisk person (t.ex. namn, personnummer, bild, biometrisk eller genetisk information, telefonnummer, e-postadress eller annan onlineidentifierare; inklusive en hänvisning till en offentlig person på Wikipedia eller någon annanstans på Internet).

Fysisk eller juridisk person, myndighet, ämbetsverk eller annat organ som behandlar personuppgifter på uppdrag av den registeransvarige (t.ex. en utkontrakterad avlöningskontorist i ett företag).

Profilering är en automatiserad behandling av personuppgifter som analyserar eller förutser personliga egenskaper (såsom plats eller rörlighet, ekonomisk situation, avsikt att köpa, tillförlitlighet eller beteende, hälsa, personliga preferenser eller intressen, arbetsprestation eller annat beteende) med hjälp av personuppgifter. Profilering används i många sociala medietjänster och i vissa andra applikationer, men profilering eller automatiserade beslut får endast i undantagsfall basera sig på specifika kategorier av personuppgifter, såsom etniskt ursprung, politiska åsikter eller religiösa övertygelser.

Behandling av personuppgifter på så sätt att personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter. Dessutom ska sådan utan kompletterande uppgifter förvaras åtskilda och omfattas av tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna inte associeras med en identifierad eller identifierbar person.

Till exempel kan en studie som behandlar känsliga uppgifter använda pseudonympublicering, men den pseudonymiserade uppgiften är en personuppgift eftersom den kan återanslutas till en person (jämf. anonymisering).

Fysisk eller juridisk person (offentlig myndighet, ämbetsverk eller annat organ) som ensam eller i samarbete med andra bestämmer ändamålet och medlen för behandlingen av personuppgifter. Den registeransvarige bestämmer också varför registret skapades och ansvarar för behandlingen av personuppgifter.

Den allmänna skyldighet som föreskrivs i personuppgiftslagen, enligt vilken den registeransvarige utan onödigt dröjsmål eller på eget initiativ eller på begäran av den registrerade ska rätta, radera eller komplettera personuppgifter i registret som är felaktiga, onödiga, ofullständiga eller föråldrade för behandlingsändamål. Den registeransvarige ska också förhindra spridning av sådana uppgifter, om uppgifterna kan äventyra den registrerades integritet eller rättigheter.