Personuppgift
GDPR har en bred definition
Mer än vad man tror omfattas av begreppet personuppgift
Skyddet av den personliga integriteten byggs upp runt individens personuppgifter. En personuppgift är en uppgift som direkt eller indirekt kan knytas till en enskild person, eller tillsammans med andra uppgifter kan identifiera en person. Ett förnamn och en adress kan utgöra personuppgift. Ett kundnummer är en personuppgift eftersom det troligen går att samköra med andra system. Bilder på personer, registreringsnummer på en bil, en e-postadress eller ett ip-nummer, en röst eller gps-position. Allt detta är personuppgifter. En eller flera faktorer som är någorlunda specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Dataskyddsförordningen är utformad för att ge ett brett tolkningsutrymme för vad som är en personuppgift och omfattar både text, bild och ljud.
Personuppgifterna är bara till låns. De kan i principt dras tillbaka är som helst. En individ kan begära ut vilka personuppgifter ett företag behandlar liksom en lista över personuppgifter som finns, kontrollera att de är korrekta och aktuella, begära att de uppdateras eller återta rätten till behandling eller begära att uppgifterna skall porteras till en annan leverantör. För många företag betyder detta ett helt nytt sätt att tänka kring personuppgifter.
Det krävs alltid en laglig grund för varje personuppgiftsbehandling. Samma personuppgift kan behandlas utifrån olika lagrum och då blir syftet med behandlingen extra viktig. Adressuppgifter som lagras för att uppfylla bokföringslagen kan inte användas i något annat sammanhang utan att ha definierat lagrum, syfte och eventuellt inhämta samtycke för andra användningsområdet.
Ostrukturerad information omfattas också av GDPR. Det innebär att anteckningar, intalade telefonmeddelanden, e-post, kalendarium och att-göra-listor i alla dess former i de flesta fall skall betraktas som behandling av personuppgifter. Det innebär inte att företaget måste sluta använda e-post, telefonsvarare eller kalender, utan måste troligen istället vara mycket noggrannare med att skyndsamt rensa och städa bort. En strategi skulle kunna vara att helt enkelt överföra viktiga meddelanden till en strukturerad hantering och slänga resten så snart som möjligt, gärna med automatik. Tiden med fleråriga e-postarkiv är över. Givetvis kommer det fortfarande utbytas e-post med viktig information för åtaganden inom ramen för exempelvis ett avtal, men då är det troligen en bättre strategi att sortera in det tillsammans med annan strukturerade uppgifter på det avtalet, istället för att låta det ligga kvar i inkorgen. Det finns system för att identifiera dokument med personuppgifter som lagras på persondatorer, plattor, mobiler. För de flesta blir det dock en ogörlig administration. Bättre då att låta dessa enheter prenumerera å pkontaktlistor, kalendrar och rensa övriga dokument hårt.
Tänk på hur informationen lagras. Det är inte tillåtet att exportera personuppgifter eller överföra personuppgifter till tredje part hur som helst. Säkerställ att de molntjänster ni använder också har sina servrar i Sverige, annars innebär det i praktiken export av personuppgifter. Samma sak gäller även tjänster som e-postutskick eller webbservrar. Tjänster som Google, Apple och Microsoft erbjuder är ofta baserade på servrar placerade utanför Sveriges gränser. Skriv avtal med era leverantörer som hanterar personuppgifter å era vägnar.