Vad klassas som personuppgifter?

All information som direkt eller indirekt kan kopplas till en person räknas som personuppgifter. Det kan till exempel vara ditt namn, e-postadress, adress eller telefonnummer.

EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation) trädde i kraft den 25 maj 2018. Förordningen gäller i alla EU:s medlemsstater och innehåller regler för hur personuppgifter får behandlas. GDPR ersätter personuppgiftslagen i Sverige.

Vilka nivåer finns för klassning av personuppgifter?

Vi hänvisar vänligen till KLASSA 4 som du kan läsa mer om via länken nedan

https://klassa.skr.se

Vad anses vara personuppgifter?

Personuppgifter är all information som rör en identifierad eller identifierbar levande enskild person. Olika uppgifter som tillsammans kan leda till att en viss person kan identifieras, utgör också personuppgifter.

Personuppgifter som har avidentifierats, krypterats eller pseudonymiserats men som kan användas för att på nytt identifiera en person fortsätter att vara personuppgifter och omfattas av den allmänna dataskyddsförordningen.

Vilka uppgifter ingår i GDPR?

En personuppgift är varje upplysning som avser en identifierad eller en identifierbar fysisk person. En identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, till exempel med en identifierare som ett namn, ett personnummer, en lokaliseringsuppgift eller onlineidentifikator. Detsamma gäller om personen kan identifieras med en eller flera faktorer som är specifika för dennes fysiska, fysiologiska, genetiska, biometriska, psykiska, ekonomiska, kulturella eller sociala identitet.

Exempel: Namn, kundnummer (exempel på ett identifikationsnummer), bild, röst, registreringsnummer för fordon, lägenhetsnummer, postnummer till hemadressen, fastighetsbeteckning och uppgift om part i ett tvistemål eller brottmål. Även bilder, teckningar och ljudupptagningar kan vara personuppgifter. För att detta ska vara fallet ska den som tar del av bild- eller ljudupptagningen, direkt eller indirekt, kunna identifiera en levande fysik person som upptagningen avser. Även uppgifter som beskriver egenskaper eller bedömningar kan vara personuppgifter om de går att knyta till en identifierad eller identifierbar fysisk person; t.ex. en läkares hälsobedömning eller elevers betyg.

Är lön en personuppgift?

Böter för överträdelser av dataskyddsförordningen kan bli saftiga. De höga sanktionsavgifterna syftar till att verka avskräckande så att verksamheter som behandlar personuppgifter tar regelverket på allvar och arbetar proaktivt med att säkra ett fullgott integritetsskydd. Hur höga böter det kan röra sig om beror på omständigheterna i det enskilda fallet och graden av allvarlighet i överträdelsen. För myndigheter är maxbeloppet 5 miljoner kr för mindre allvarliga överträdelser och max 10 miljoner kr för allvarligare överträdelser. För övriga verksamheter landar böter för nivå 1 på max 10 miljoner euro eller 2% av företagets globala omsättning. Vid allvarliga överträdelser max 20 miljoner euro eller 4% av företagets globala omsättning (beroende på vilket som utgör det högsta beloppet).

För att få hantera personuppgifter måste man ha en laglig grund för behandlingen. En laglig grund innebär att det finns stöd för en viss personuppgiftsbehandling. Inom ramen för en anställning kan nedan lagliga grunder vara aktuella vid personuppgiftsbehandling:

Vad räknas som känsliga personuppgifter?

All personuppgiftsbehandling ska ske enligt de grundläggande principer som framgår av artikel 5 i dataskyddsförordningen. Personuppgifterna ska bland annat behandlas på ett lagligt, korrekt och öppet sätt i förhållande till de enskilda individer som berörs. Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det är inte tillåtet att senare behandla personuppgifterna på ett sätt som är oförenligt med dessa ursprungliga ändamål. Den personuppgiftsansvarige (oftast lärosätet) ska ansvara för och kunna visa att principerna efterlevs (ansvarsskyldighet).

Laglighet. Att uppgifterna ska behandlas lagligt innebär att det ska finnas en rättslig grund för behandlingen.
Korrekthet. Att uppgifterna ska behandlas korrekt innebär att behandlingen ska vara proportionerlig. Det betyder att du inte ska behandla fler uppgifter än du behöver för ditt ändamål.
Öppenhet. Att uppgifterna ska behandlas på ett öppet sätt innebär att du på ett klart och tydligt sätt ska informera om behandlingen.

Ta kontakt med dataskyddsombudet för att få veta mer om personuppgiftsbehandling vid just ditt lärosäte. Du kan läsa mer om de grundläggande principerna på Integritetsskyddsmyndighetens webbplats.

All behandling av personuppgifter måste ha stöd i någon av de rättsliga grunder som räknas upp i artikel 6 i dataskyddsförordningen. För lärosäten och universitet, som är myndigheter, är det nästan utan undantag den rättsliga grunden allmänt intresse som är aktuell vid personuppgiftsbehandling i samband med forskning. Eftersom lärosäten och universitet har ett författningsreglerat uppdrag att bedriva forskning är personuppgiftsbehandlingen nödvändig för att utföra en uppgift av allmänt intresse, vilket alltså utgör den rättsliga grund behandlingen stödjer sig på.

Även samtycke kan vara en rättslig grund för personuppgiftsbehandling. Myndigheter kan dock endast i sällsynta fall använda sig av samtycke som rättslig grund. Anledningen till detta är att det råder betydande ojämlikhet mellan den enskilda registrerade och myndigheten. Även förhållandet mellan en enskild forskningsperson och en forskningshuvudman (vanligtvis ett lärosäte) kan vara präglat av en sådan obalans. För att ett samtycke ska vara giltigt får det inte finnas någon form av beroendeställning mellan forskningspersonen och lärosätet. (Med forskningsperson avses den person som ingår i en forskningsstudie. Olika vetenskapliga discipliner använder olika benämningar på deltagare i studier, exempelvis informant, respondent eller intervjuobjekt.)

Oavsett vilken rättslig grund som används så måste alltid forskningspersonerna få klar och tydlig information om behandlingen av personuppgifterna och vilka rättigheter de har. Rättigheterna innebär bland annat att de ska få information om när och hur deras personuppgifter behandlas och att de ska ha kontroll över sina egna uppgifter.

Hur gör man en Informationsklassning?

Det finns flera fördelar med automation inom IT-infrastruktur. En fördel är att det minskar och eliminerar sårbarheter som är förknippade ...

16.5.2023

Vad räknas till känsliga personuppgifter?

Huvudregeln när det gäller känsliga uppgifter i GDPR är att de inte får behandlas. Allt som är att anse som känsliga uppgifter får helt enkelt inte samlas in eller lagras hos organisationer. I så fall straffas organisationen med höga böter. Men inga regler utan undantag. I vissa fall får känsliga uppgifter behandlas trots allt. Mer om det senare.

Vilka personuppgifter får samlas in?

Publicerad 19 maj 2021

En rättslig grund är samtycke. Samtycke innebär att personen ifråga har lämnat samtycke till att uppgifter om hen registreras. Om ett företag ska samla in uppgifter om en person så måste denne få information om vilka uppgifter som samlas in samt vad dessa ska användas till för att sedan kunna lämna sitt godkännande. Ett samtycke kan ske antingen genom ett uttalande eller genom en entydig bekräftande behandling. Detta kan exempelvis vara en ruta i ett elektroniskt formulär som den enskilda personen uttryckligen måste kryssa i. Det kan också röra sig om en signatur i ett formulär. Samtycke är en lite svagare rättslig grund då samtycket när som helst kan tas tillbaka. Företaget måste även kunna visa på att samtycke har skett och därför är det bra att använda sig av skriftliga samtycken. Är du intresserad av att läsa mer om grunden samtycke hittar du information här.

Vad omfattas inte av GDPR?

Europaparlamentets och rådets förordning (EU) 2016/679 1, Europeiska unionens (EU) nya allmänna dataskyddsförordning, reglerar enskilda personers, företags och organisationers behandling av personuppgifter som rör enskilda personer inom EU.

Den allmänna dataskyddsförordningen rör inte behandlingen av personuppgifter för avlidna personer eller juridiska personer.

Reglerna gäller inte för uppgifter som behandlas av en enskild person för ett helt och hållet personligt syfte eller för verksamhet som utförs i någons hem, förutsatt att det inte finns någon koppling till professionell eller kommersiell verksamhet. Om en enskild person använder personuppgifter utanför den personliga sfären, till exempel för sociokulturell eller ekonomisk verksamhet, måste dataskyddslagstiftningen respekteras.

Vad är inte känsliga personuppgifter?

Följande personuppgifter anses som ”känsliga” och är underställda särskilda behandlingsvillkor:

personuppgifter som avslöjar ras eller etniskt ursprung, politisk uppfattning, religiösa eller filosofiska övertygelser,
medlemskap i fackföreningar,
genetiska uppgifter, biometriska uppgifter som behandlas enbart för att identifiera en människa
hälsouppgifter,
uppgifter som rör en persons sexliv eller sexuella läggning.

Är personnummer känsliga uppgifter?

Här är en sammanfattning av fyra grupper av integritetskänsliga uppgifter. Dessa är bra att känna till, eftersom vissa personuppgifter är känsligare än andra. De flesta företagen behandlar personuppgifter och det är därför viktigt att veta hur man gör det på ett korrekt sätt i enlighet med GDPR (dataskyddsförordningen).

Grupp 1

Vad menas med att klassa information?

Utgå ifrån de konsekvenser som kan uppstå vid bristande skydd:

Vilka fyra aspekter består informationssäkerhet av?

HotbildRättsliga kravInformationstillgångarFörväntningar

Lite förenklat kan man alltså dela in en organisations behov av informationssäkerhet i 3 delar:

Är personnummer känsliga personuppgifter?

EU har beslutat om en dataskyddsförordning (GDPR) som gäller behandling av personuppgifter. GDPR står för General Data Protection Regulation. Förordningen är en vidareutveckling av personuppgiftslagen (PUL) som gällt tidigare. GDPR ställer bland annat större krav på dokumentation och information från de som hanterar personuppgifter. Förordningen ska börja tillämpas 25 maj 2018.

Syftet med GDPR är att säkerställa och harmonisera skyddet för fysiska personers personuppgifter. Fysiska personer ska få större kontroll över sina personuppgifter samtidigt som företag bara behöver förhålla sig till ett enda regelverk när de bedriver verksamhet i flera EU-länder.