Hoppa till innehåll på sidan

Välkommen till IMY:s innovationsportal

För att åstadkomma hållbar digitalisering krävs att innovatörer som utvecklar nya tekniker och tjänster har kunskap om och arbetar systematiskt med dataskydd.

Dataskyddet behöver beaktas och vävas in i den digitala utvecklingen från början. Tekniker som exempelvis AI innebär nya och effektiva sätt att samla in och analysera stora mängder data, vilket skapar risker ur ett integritetsskyddsperspektiv. Ofta råder osäkerhet i olika verksamheter om hur man ska förena sitt innovationsarbete med reglerna i GDPR.

En viktig del av IMY:s verksamhet är att ge vägledning och stöd om dataskydd till innovationsaktörer. Vi gör det på flera sätt, bland annat genom att vi samlar information och vägledning här på innovationsportalen. Portalen är en levande plattform som utökas successivt. I nuläget beskriver innovationsportalen främst grundläggande dataskyddsregler, eftersom det även vid komplex teknikutveckling och avancerade innovationsprocesser ofta är grundläggande dataskyddsfrågeställningar som hamnar i fokus.

Välkommen att läsa vidare så ska vi försöka reda ut begreppen.

Grundläggande begrepp

Känner du dig osäker på grunderna i GDPR? Ta en stund till att lära dig de grundläggande begreppen innan du går vidare till guiderna.

Vad är GDPR?

Alla verksamheter som hanterar personuppgifter måste följa GDPR (dataskyddsförordningen) som är ett regelverk som finns till för att skydda personuppgifter. Reglerna gäller i hela EU. Vid sidan om GDPR finns nationella regler som kompletterar dataskyddsförordningen. Ett exempel är Patientdatalagen som reglerar hur personuppgifter får hanteras inom hälso- och sjukvården.

Mer om reglerna på dataskyddsområdet och hur de hänger samman

Vad är en personuppgift?

GDPR gäller inte allt det som kallas för data, utan endast data som omfattar personuppgifter. Därför är det bra att veta om ens datasamling innehåller personuppgifter.

Vad är då det?

Jo, med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.

Inte bara namn, adress och personnummer, eller foton på personer, utan även ljud- och filminspelningar och GPS-positioner, kan vara personuppgifter om uppgifterna kan knytas till en levande person. Biometriska uppgifter, uppgifter med fysiska eller beteendemässiga kännetecken, som till exempel DNA, fingeravtryck och rörelsemönster kan vara personuppgifter.

Registreringsnumret på en bil kan vara en personuppgift, om ägaren är en fysisk person och inte ett företag.

Ett organisationsnummer är oftast inte en personuppgift, förutsatt att det inte handlar om en enskild näringsidkare vars personnummer även är organisationsnumret.

Vissa personuppgifter är till sin natur särskilt känsliga och har därför ett starkare skydd. De kallas för känsliga personuppgifter och är exempelvis uppgifter om hälsa eller biometriska uppgifter som används för att entydigt identifiera en person. Det är som huvudregel förbjudet att behandla känsliga personuppgifter, men det finns undantag.

Känsliga personuppgifter

Det finns även andra typer av personuppgifter som endast får behandlas under vissa förutsättningar. Det gäller till exempel personnummer eller uppgifter om lagöverträdelser.

 

Vad är personuppgiftsbehandling?

Personuppgiftsbehandling är allting man gör när man hanterar personuppgifter: samlar in, sparar, delar (till exempel vid datadelning), sorterar, publicerar, lagrar, förmedlar, raderar och så vidare.

Hur vet ni vem som är personuppgiftsansvarig?

Utifrån benämningen personuppgiftsansvarig kan man förledas att tro att det alltid är en fysisk person som är ansvarig, men så är det ganska sällan. Personuppgiftsansvarig är den som bestämmer för vilka ändamål som personuppgifterna får hanteras och hur den hanteringen ska gå till. Hantering av personuppgifter kallas som beskrivits ovan personuppgiftsbehandling i GDPR.

Personuppgiftsansvarig kan till exempel vara ett aktiebolag, en stiftelse, en förening eller en myndighet. Det är alltså inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Även en fysisk person kan vara personuppgiftsansvarig, vilket till exempel är fallet för enskilda firmor. Om två eller flera parter tillsammans bestämmer över en viss behandling är de gemensamt personuppgiftsansvariga. Den som är personuppgiftsansvarig kan överlåta den faktiska behandlingen av personuppgifter, som förvaring av personuppgifterna, till någon annan men personuppgiftsansvaret kan aldrig avtalas bort. Den som bestämmer över behandlingen är ansvarig.

Hur vet ni vem som är personuppgiftsbiträde?

Personuppgiftsbiträde är den som behandlar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas egen organisation. Ett personuppgiftsbiträde kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ. Exempelvis är ofta molntjänstföretag eller andra externa leverantörer av IT-tjänster personuppgiftsbiträden när de lagrar personuppgifter på uppdrag av en personuppgiftsansvarig. Ett personuppgiftsbiträde skulle exempelvis kunna vara en som tillhandahåller en dataplattform för så kallad maskininlärning.

Ett personuppgiftsbiträde och dess personal får bara behandla personuppgifter enligt instruktioner från den personuppgiftsansvariga och avtal mellan parterna måste finnas, ett så kallat personuppgiftsbiträdesavtal.

Personuppgiftsbiträdesavtal

Senast uppdaterad: 21 november 2022