Vilka viktiga GDPR-begrepp behöver jag känna till?

  • Ansvarsskyldighet: Dataskyddsförordningen ställer stora krav på dokumentation och att man ska kunna visa att man efterlever lagen.
  • Behandling: Allting man gör med personuppgifter, till exempel samlar in, lagrar, ändrar, använder eller observerar, är en personuppgiftsbehandling.
     
  • Berättigat intresse: En av de sex möjliga grunderna för laglig behandling av personuppgifter. Berättigat intresse ska inte misstas för att vara en sorts ”carte blanche” som ger organisationer möjlighet att fortsätta som tidigare med sin behandling av personuppgifter. En så kallad intresseavvägning måste alltid göras om den här rättsliga grunden ska användas.
     
  • Dataskydd som standard: Det finns tekniska och organisatoriska krav på att organisationer säkerställer säker hantering av personuppgifter. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet.
     
  • Dataskyddsombud (DPO): Ny befattning med fler formella krav än personuppgiftslagens personuppgiftsombud, förkortas DPO efter engelskans Data Protection Officer. Många, men inte alla, verksamheter är skyldiga att utse dataskyddsombud och anmäla detta till Datainspektionen innan 25 maj 2018.
     
  • Incident: Om personuppgifter till exempel kommit på villovägar ska detta anmälas till Datainspektionen inom 72 timmar från det att man fick kännedom om incidenten. Ett gott samarbete med Datainspektionen är viktigt inte minst för att reducera de potentiellt väldigt höga böter som kan utfärdas.
     
  • Information: GDPR ställer stora krav på information till den registrerade, bland annat ska information vara lättbegriplig och GDPR definierar i många fall vilken information som måste lämnas i olika situationer.
     
  • Laglig grund: Dataskyddsförordningens artikel 6 listar olika lagliga grunder, varav en måste vara uppfylld för att personuppgiftsbehandling ska få göras.
     
  • Personuppgift: I princip vad som helst som direkt eller indirekt kan användas för att identifiera en fysisk person.
     
  • Personuppgiftsansvarig: Den juridiska person som ansvarar för personuppgifter.
     
  • Personuppgiftsbiträde: Underleverantör som den personuppgiftsansvarige använder för att hantera personuppgifter.
     
  • Personuppgiftsbiträdesavtal: Ett obligatoriskt avtal mellan den personuppgiftsansvarige och biträdet som reglerar vad personuppgiftsbiträdet ska, och får, göra med personuppgifterna som behandlas för den personuppgiftsansvariges räkning.
     
  • Pseudonymisering: En dataskyddsåtgärd som innebär att personuppgifter avidentifieras i den databas de normalt används, men att det finns en nyckel tillgänglig på annat håll. Ska inte förväxlas med kryptering eller anonymisering.
     
  • Samtycke: En av de sex möjliga grunderna för laglig behandling av personuppgifter. Samtyckesbegreppet utökas (kompliceras kan man kanske också säga) i förhållande till samtyckesbegreppet i personuppgiftslagen. Den som idag har inhämtat samtycke i enlighet med personuppgiftslagen har inte nödvändigtvis längre ett giltigt inhämtat samtycke när GDPR börjar tillämpas.
     
  • Uppgiftsminimering: En central princip i GDPR som handlar om att man inte får samla in fler personuppgifter än vad som är nödvändigt för ändamålet, och inte lagra uppgifter längre än nödvändigt.
     
  • Ändamål: Behandling av personuppgifter får endast ske med definierat ändamål, och detta får i princip inte ändras eller utökas i efterhand.
     
  • Överföring: GDPR reglerar hur överföring av personuppgifter får ske, i synnerhet om uppgifter lämnas ut till någon, exempelvis ett personuppgiftsbiträde, i ett så kallat tredje land – det vill säga utanför EU. Om Storbritannien inte får till något avtal med EU gällande dataskydd kommer även de att räknas som tredje land efter Brexit.