2. Vad är personuppgifter?

Detta är den andra lektionen i utbildningsserie om Digital Trygghet där du får lära dig vad som utgör personuppgifter och varför det är viktigt att hålla isär olika typer av uppgifter.

Lektionen tar ca 3-5 min att genomföra!

Personuppgifter

Vad är personuppgifter?

GDPR gäller för personuppgifter. 


Personuppgifter är all slags information som kan knytas till en fysisk person i livet. Typiska personuppgifter är namn, personnummer, adress eller foton som direkt identifierar en viss person. Även uppgifter som indirekt identifierar en viss person, t.ex. ett användarnamn, en positionsuppgift eller andra uppgifter som är specifika för en individ kan utgöra personuppgifter. Ja till och med ljudinspelningar som lagras elektroniskt kan vara personuppgifter även om några namn inte förekommer i inspelningen. 


Om sådana uppgifter kommer på villovägar kan det få allvarliga konsekvenser, både för individen och för den som ansvarar för behandlingen. 

Vad är känsliga personuppgifter?

Redan idag känner många till att man gör skillnad i kraven på behandling av "vanliga" personuppgifter och "känsliga" personuppgifter. 


Känsliga uppgifter är sådana som avslöjar:
- ras och etniskt ursprung,
- Politiska åsikter,
- Medlemskap i fackförening,
- Genetiska och biometriska data som utpekar en individ (t.ex. fingeravtryck eller röstigenkänning),
- hälsa,
- Sexualliv eller sexuell läggning. 


Uppgift om hälsa kan till exempel vara sjukfrånvaro, graviditet, och läkarbesök. Normalt är det förbjudet att behandla känsliga personuppgifter men det finns undantag till förbudet, t.ex. vid samtycke från den enskilde. Känsliga uppgifter måste skyddas mer än andra uppgifter. 

Vad menas med behandling?

GDPR gäller för behandling av personuppgifter. Men känner vi till vad detta innebär? Utför vi kanske behandlingar som vi inte har riktigt koll på? Behandling är alla åtgärder som görs avseende en personuppgift, oavsett om de sker automatiserat eller manuellt.. 


Det kan exempelvis röra sig om:
- insamling och registrering,
- organisering, strukturering och lagring,
- bearbetning och ändring,
- framtagning, läsning, användning, -
 utlämning, spridning eller tillhandahållande på annat sätt,
- justering och sammanförande,
- begränsning, radering och förstöring,


Det här innebär naturligtvis att nästan allt som görs på en personuppgift utgör behandling och omfattas av GDPR. Det innebär dessutom att nästan alla medarbetare inom vår verksamhet berörs och påverkas av reglerna i GDPR.

Några tydligare exempel på behandling!

Vårt företag vill undersöka vad besökarna tycker om vår nylanserade webbplats. Vi lägger därför ut en enkät på webbsidan där besökaren kan fylla i namn, e-postadress och ålder m.m. Vi behöver dessa uppgifter för att vi ska kunna använda informationen på bästa sätt. Vi överför sedan Informationen till en annan databas där våra medarbetare kan ta del av uppgifterna, sammanställa och skicka de vidare. 


Samtliga steg i den här kedjan utgör behandlingar av personuppgifter och ska uppfylla kraven i GDPR.

Wrap-up

Har vi koll på den behandling vi genomför inom vår verksamhet? 

Finns det behandling som vi inte känner till eller inte uppfattat som sådan behandling som omfattas av GDPR? 

Uppfyller vår behandling GDPR redan idag och hur ska vi jobba efter maj 2018? 

Behöver vi uppdatera våra rutiner och riktlinjer för att säkerställa säkerheten för de uppgifter vi behandlar?