I ett tidigare blogginlägg (som ni hittar här) redde vi ut 10 viktiga begrepp i GDPR. I detta blogginlägg kommer vi reda ut 10 ytterligare begrepp i GDPR. Har ni koll även på dessa är det enklare att följa med i diskussionerna kring de krav som ställs upp i GDPR.
1. Informationsskyldighet
I förordningen finns en rätt till information för de registrerade, d.v.s. de personer vars personuppgifter behandlas. Detta innebär i sin tur en skyldighet för företag, myndigheter och organisationer att lämna sådan information. Informationsskyldigheten innebär att information ska lämnas till den registrerade vid tre tillfällen: 1) när informationen samlas in, 2) när den registrerade begär det och 3) vid vissa speciella tillfällen, exempelvis om ett dataintrång sker. Informationen som ges ska innehålla vissa punkter, några av dessa är:
• Vem som är mottagare av personuppgifterna.
• Hur länge personuppgifterna planeras lagras.
• Om behandlingen är föremål för automatiserat beslutsfattande, vilket för oss in på nästa begrepp.
2. Automatiserat beslutsfattande
Automatiserat beslutsfattande innebär att ett beslut tas, utan att en person är inblandad i beslutsprocessen. Ett exempel kan vara vid en rekryteringsprocess, där en kandidat avslås baserat på ett datoriserat urvalstest. De registrerade har rätt att inte bli föremål för automatiserat beslutsfattande, om beslutet har eller kan ha rättsliga följder för den registrerade. Det finns dock omständigheter som gör att ett automatiserat beslutsfattande kan vara tillåtet. Exempelvis kan den registrerade samtycka till behandlingen.
3. Anonymisering
Anonymisering innebär att den enskilde inte längre kan identifieras genom uppgifterna. Det ska inte heller finnas kompletterande personuppgifter som kan leda till en identifiering av den fysiska personen. Uppgifterna är då inte längre personuppgifter enligt GDPR och förordningen behöver inte tillämpas på dem. Anonymisering kan vara användbart vid forskning och för att föra statistik, men fullständig anonymisering är svårt att uppnå.
4. Adekvat skyddsnivå
Som huvudregel får personuppgifter inte föras över till länder utanför EU/EES, s.k. tredje länder. Ett undantag till detta är om ett tredje land uppnår adekvat skyddsnivå. I sådant fall är en överföring av personuppgifter till det landet lagenlig, även utan ett särskilt tillstånd. Det är EU-kommissionen som fattar beslut om ett land når upp till det skydd som krävs. Exempel på länder som anses ha en adekvat skyddsnivå är Nya Zeeland och Schweiz.
Många företag för över personuppgifter till USA. USA har inte bedömts ha en adekvat skyddsnivå, om inte mottagaren av personuppgifter är ansluten till ett samarbete kallat Privacy Shield.
Även om ett tredje land inte uppnår en adekvat skyddsnivå, kan en överföring ändå vara lagenlig om lämpliga skyddsåtgärder vidtas. Exempel är det möjligt att upprätta Binding Corporate Rules (BCR:s), eller att använda sig av standardavtalsklausuler vid avtalsingåendet. Se mer om överföring till tredje land här.
5. Särskild kategori
Särskilda kategorier av personuppgifter är de personuppgifter som anses extra känsliga och därmed extra skyddsvärda. Det är därför vanligt att de benämns just ”känsliga personuppgifter” istället för särskilda kategorier av personuppgifter. Det är som huvudregel förbjudet i GDPR att behandla känsliga personuppgifter, men det finns undantag i lagen. I GDPR finns en uppräkning av vilka de särskilda kategorierna är, några exempel är uppgifter om:
• Ras eller etniskt ursprung
• Religiös eller filosofisk övertygelse
• Medlemskap i en fackförening
• Hälsa
Förutom de uppräknade personuppgifterna kan vissa personuppgifter anses extra skyddsvärda eller integritetskänsliga. I denna kategori hamnar exempelvis personnummer.
6. Rättslig grund
För att få behandla personuppgifter enligt GDPR krävs att behandlingen är knuten till ett en rättslig grund, ett lagstöd. Dessa är sex till antalet: samtycke, avtal, rättslig förpliktelse, myndighetsutövning/uppgift av allmänt intresse, grundläggande intresse och berättigat intresse. Om er personuppgiftsbehandling inte kan knytas ett en rättslig grund är behandlingen inte laglig.
7. Berättigat intresse
En av de sex rättsliga grunderna är berättigat intresse, eller intresseavvägning som det också kallas. För att ni ska ha rätt att behandla personuppgifter med stöd av en intresseavvägning krävs att ert intresse av att behandla uppgifterna väger tyngre än den registrerades rätt att inte få sina personuppgifter behandlade. Exempel på berättigande intressen kan vara behandling som sker för att förhindra bedrägerier eller behandling som sker i direktmarknadsföringssyfte.
För att ta reda på om ert intresse väger tyngre än den registrerades kan ni göra en bedömning av hur chockad eller paff den registrerade kan tänkas bli över behandlingen. För detta ska ni göra en helhetsbedömning av situationen. En intresseavvägning bör göras skriftligen och godkännas av verksamhetens styrelse.
8. Underbiträde
De flesta är nu bekanta med termerna ”personuppgiftsansvarig” och ”personuppgiftsbiträde”. Om inte, kan ni läsa mer om dem här. Termen ”underbiträde” finns inte med i förordningens definitioner, men med termen brukar menas ett personuppgiftsbiträde som anlitas av ett personuppgiftsbiträde. Det kan alltså röra sig om en lång kedja av verksamheter som behandlar personuppgifter. Ett underbiträde har i princip samma skyldigheter, och rättigheter, som ett personuppgiftsbiträde.
9. Gallring
En allmän princip i GDPR är att personuppgifter inte ska sparas längre än vad som är nödvändigt. Det är därför bra att upprätta rutiner för gallring av personuppgifter som inte längre behövs. Hur länge personuppgifter får sparas beror på flera olika faktorer, exempelvis vad det rör sig om för uppgifter, vad olika speciallagar säger och hur väl skyddade uppgifterna är. Det måste dock alltid finnas ett lagstöd och ett ändamål med behandlingen. Är det möjligt att anonymisera personuppgifterna behöver inte alla uppgifter tas bort.
10. Huvudsakligt verksamhetsställe
För att veta vilken som är den ansvariga tillsynsmyndigheten när ni har verksamhet i flera länder måste ni ta reda på vart ert huvudsakliga verksamhetsställe är.
Det huvudsakliga verksamhetsstället för en personuppgiftsansvarig som har verksamheter i flera medlemsstater är det land där verksamheten har sin centrala förvaltning. Om beslut kring ändamål och medel för personuppgiftsbehandling tas vid ett annat verksamhetsställe i ett land inom unionen, där besluten även kan genomföras, är detta andra land det huvudsakliga verksamhetsstället.
Det huvudsakliga verksamhetsstället för ett personuppgiftsbiträde som har verksamheter i flera länder är där den centrala förvaltningen finns. Finns ingen sådan central förvaltning eller finns sådan central förvaltning utanför EU, blir istället det verksamhetsställe där den huvudsakliga behandlingen sker det huvudsakliga verksamhetsstället, om detta ställe ligger inom EU.