Vad betyder de ord som används inom GDPR

Behandling av personuppgifter är ett brett begrepp och innefattar allt som kan göras med personuppgifter. Till exempel kan man samla in, registrera, lagra, lämna ut eller radera dem.

Fysisk eller juridisk person som utses av den personuppgiftsansvarige för att kontrollera att personuppgifter behandlas i enlighet med dataskyddsförordningen. Dataskyddsombudet är kontaktperson gentemot registrerade och gentemot tillsynsmyndigheten.

GDPR innehåller grundläggande principer som sätter ramarna för all personuppgiftsbehandling. Dessa principer kan sägas utgöra kärnan i GDPR och ska genomsyra all personuppgiftsbehandling. Det finns sju grundläggande principer. Nedan finns de uppräknade med en mycket kort förklaring.

1. Laglighet, korrekthet och öppenhet: Uppgifterna ska behandlas lagligt, på ett korrekt sätt och öppet i förhållande till den registrerade.
2. Ändamålsenligt: Det ska finnas ett särskilt, uttryckligt och berättigat ändamål med behandlingen.
3. Uppgiftsminimering: Uppgifterna ska vara relevanta, adekvata och inte för omfattande i relation till ändamålet.
4. Korrekthet (riktighet): Uppgifterna ska vara korrekta och om nödvändigt uppdaterade.
5. Lagringsminimering: Uppgifterna får inte förvaras längre än nödvändigt.
6. Integritet och konfidentialitet: Lämpliga tekniska och organisatoriska 
   åtgärder ska vidtas för att säkerställa tillräckligt skydd för uppgifterna.
7. Ansvarsskyldighet: Personuppgiftsbehandlingen ska dokumenteras för att visa att GDPR efterlevs.

Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person (en registrerad). Några exempel på personuppgifter är adress, e-postadress, foto, namn och personnummer.

Personuppgiftsansvarig är den som bestämmer för vilka syften personuppgifter får behandlas och hur hanteringen av uppgifterna ska gå till. Den som är personuppgiftsansvarig ansvarar för att se till att all personuppgiftsbehandling sker i enlighet med GDPR. Det innebär bland annat ansvar för att vidta lämpliga säkerhetsåtgärder för att skydda personuppgifter samt att implementera rutiner för hur personuppgifter får hanteras.

Boverket är personuppgiftsansvarig för den behandling av personuppgifter som sker inom ramen för myndighetens verksamhetsområde.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvarigas organisation.

När Boverket anlitar en extern leverantör som hanterar personuppgifter som Boverket ansvarar för, blir leverantören ett personuppgiftsbiträde till Boverket. När ett personuppgiftsbiträde anlitas måste ett avtal upprättas mellan parterna, vilket kallas för ett personuppgiftsbiträdesavtal. Personuppgiftsbiträdet får enbart behandla personuppgifter i enlighet med de instruktioner som den personuppgiftsansvariga anger i avtalet.

Den person vars personuppgifter behandlas.

Det krävs alltid en rättslig grund för att Boverket ska få behandla personuppgifter. De rättsliga grunder som Boverket normalt kan använda är:

• Uppgift av allmänt intresse: Uppdrag från riksdag eller regering som Boverket måste följa.
• Myndighetsutövning: Personuppgiftsbehandlingar som är nödvändiga som ett led i Boverkets myndighetsutövning.
• Avtal: För att fullgöra avtal mellan Boverket och den registrerade.
• Rättslig förpliktelse: Personuppgiftsbehandlingar som Boverket måste utföra för att följa lagar och regler.
• Samtycke: Den registrerade säger ja och samtycker till personuppgiftsbehandlingen.

Det finns ytterligare två rättsliga grunder, vilka Boverket normalt inte kan använda:

• Intresseavvägning: Den personuppgiftsansvariga får behandla personuppgifter om den personuppgiftsansvarigas intressen väger tyngre än den registrerades och om behandlingen är nödvändig för det aktuella ändamålet.
• Skydda grundläggande intressen: Den personuppgiftsansvariga måste behandla personuppgifter för att skydda en registrerad som inte kan lämna samtycke, till exempel om personen är medvetslös.

När Boverket tillgängliggör personuppgifter i ett land utanför EU eller EES, till exempel Indien, Storbritannien eller USA, kallas det för en tredjelandsöverföring. För att det ska vara lagligt måste Boverket vidta särskilda skyddsåtgärder för att säkerställa att personuppgifterna hanteras lika säkert som inom EU och EES, där GDPR gäller.