Dataskyddsförordningen (GDPR) - undervisar och handleder

Steg 1 - Måste personuppgifter behandlas?

Den första frågan är om det verkligen är nödvändigt att behandla personuppgifter? Den undersökning som ska göras kanske kan utföras utan att personuppgifter behandlas och då är detta att föredra. Om man inte behandlar personuppgifter gäller kraven i dataskyddsförordningen inte, vilket gör arbetet lättare. Det är dock viktigt att komma ihåg att som personuppgift räknas all information som direkt eller indirekt kan knytas till en levande människa vilket gör att det inte bara är sådant som namn, personnummer, DNA eller porträttfoto som är en personuppgift utan det kan även vara en kombination av mer anonyma uppgifter som sammantaget gör det möjligt att identifiera en enskild person.

Vad är en personuppgift?

Definitionen av en personuppgift i dataskyddsförordningen kan tyckas komplicerad när den definierar en personuppgift som ”varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”. För att summera definitionen på ett mer lättillgängligt sätt kan vi kort säga att:

personuppgifter är all slags information som direkt eller indirekt kan hänföras till en levande person

Detta innebär att det inte bara är sådant som direkt kan knytas till en person som exempelvis personnummer, namn, telefonnummer, DNA eller porträttbilder utan också kombinationer av uppgifter som tillsammans gör att man kan koppla informationen till en individ, som utgör personuppgifter. Detta medför exempelvis att kombinationen ålder och skonummer tillsammans med grupptillhörighet för en person inte är personuppgifter om vi endast vet att det handlar om en svensk medborgare men kan vara det om man vet att urvalet är begränsat till en liten grupp som Svenska akademin.

Vad är en behandling?

Dataskyddsförordningens definition av behandling är ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring”. Som synes är listan på exempel lång och kan i princip sammanfattas med att behandling är allt du kan göra med personuppgifter, inklusive att bara lagra dem. Den som hanterar personuppgifter i någon form utför i någon form också en behandling i lagens mening.

Ska personuppgifter behandlas?

Den första frågan man därför bör ställa sig tillsammans med den uppsatssugne studenten är därför om man behöver behandla personuppgifter. I de tillfällen man kan få fram det nödvändiga underlaget utan att arbeta med personuppgifter, exempelvis genom att använda anonyma uppgifter, är detta att föredra. Om inte personuppgifter behandlas gäller inte dataskyddsförordningen (men annan lagstiftning kan vara applicerbar beroende på omständigheterna). Uppgifter i form av personuppgifter bör därför inte användas om det går att undvika. 

Viktigt att komma ihåg är också att dataskyddsförordningen inte bryr sig om i vilken form uppgifterna hanteras. Även om vi vanligtvis tänker oss personuppgifter som digitala data så gäller reglerna oberoende av medium. Papper, film, band, hålkort etc omfattas också så länge informationen innehåller personuppgifter.