Sök Logga in Testa gratis

Vad är egentligen en personuppgift?

Artikel Senast uppdaterad 29 sep. 2023
Vid det här laget känner alla till GDPR och att det föreligger högt ställda krav vid hanteringen av fysiska personers personuppgifter. Men vad räknas egentligen som en personuppgift, och vad innebär behandlingen av dessa? Vi reder ut begreppen här!

Vad är en personuppgift?

Personuppgifter definition: I EU:s dataskyddsförordning (GDPR) fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter. För att på ett korrekt sätt kunna tillämpa de krav som uppställs i förordningen är det viktigt att vara väl införstådd med ett antal viktiga begrepp. Ett av dessa begrepp är personuppgifter.

Av GDPR framkommer att en personuppgift är "varje upplysning som avser en identifierad eller identifierbar fysisk person". Detta innebär att en personuppgift motsvarar all information som direkt eller indirekt kan kopplas till en specifik person.

Det finns en mängd olika uppgifter som direkt eller indirekt kan kopplas samman med en fysisk person. Det som de flesta troligtvis tänker på när de hör begreppet "personuppgifter" är uppgifter som

  • en persons namn,

  • personnummer, eller

  • hemadress.

I själva verket är dock personuppgifter ofta så mycket mer än vad man tänker på i första hand. Personuppgifter kan även bestå av

  • en persons registrerade IP-adress,

  • ljudinspelningar och bilder, eller

  • ett företags e-postadresser (förnamn.efternamn@företag.com).

Känsliga personuppgifter

Som huvudregel förbjudet: Utöver "vanliga" personuppgifter finns det även vissa kategorier av personuppgifter som anses vara särskilt skyddsvärda. Dessa uppgifter brukar kallas för känsliga personuppgifter. En känslig personuppgift är uppgifter som avslöjar

  • ras eller etniskt ursprung,

  • politiska åsikter,

  • religiös eller filosofisk övertygelse,

  • medlemskap i fackförening,

  • hälsa,

  • sexualliv eller sexuell läggning,

  • genetiska uppgifter, och

  • biometriska uppgifter för att entydigt identifiera en person.

Behandling av känsliga personuppgifter är förbjuden – om inte ett av de specifika undantag som framkommer av GDPR kan aktualiseras.

Vad innebär då behandling av personuppgifter?

En behandling av personuppgifter är en åtgärd beträffande personuppgifter som kan tas i uttryck genom exempelvis insamling, registrering, framtagning eller överföring. Även åtgärder som radering, begränsning och förstöring faller in under kategorin behandling av personuppgifter. Behandlingen av personuppgifter skiljer sig åt beroende på varför uppgifterna behandlas och vilken typ av personuppgifter det är fråga om.

För att en behandling av personuppgifter ska vara tillåten krävs det att någon av de lagliga grunderna som framkommer i GDPR är uppfyllda. Om behandlingen inte är grundad på någon av de uppräknade villkoren som framkommer av GDPR är behandlingen inte laglig.

Enligt GDPR måste behandlingen grunda sig på antingen

  • den registrerades samtycke,

  • nödvändighet för fullgörande av ett avtal där den registrerade är part,

  • nödvändighet för fullgörandet av en rättslig förpliktelse som åvilar den personuppgiftsansvarige,

  • nödvändighet för skydd av intressen av grundläggande betydelse,

  • nödvändighet för utförandet av en uppgift av allmänt intresse eller som led i personuppgiftsansvariges myndighetsutövning, eller

  • nödvändighet för personuppgiftsansvariges eller tredje parts berättigade intressen.

Ändamål med behandlingen av personuppgifter

Tydligt berättigat: Personuppgifter måste samlas in för ett särskilt angivet och berättigat ändamål. De insamlade personuppgifterna får aldrig behandlas på ett sätt som är oförenligt med de ändamål för vilka de samlats in. Det är den personuppgiftsansvarige som fastställer ändamålen för behandling av personuppgifter. Ändamålen för behandlingen kan vara exempelvis rekrytering, HR, marknadsföring, upprätthållande av kundrelationer eller partnerskap, uppfyllande av avtalsförpliktelser eller organisering av evenemang.

Ändamålen med behandlingen av personuppgifter måste vara särskilda. Det innebär att en alltför generell och allmän beskrivning av ändamålen inte godtas. Ändamålsbeskrivningen ska vara specifik och ge den registrerade, vars personuppgifter samlas in, en klar och tydlig uppfattning om vilka ändamålen med behandlingen av personuppgifterna är. Ofta kan ändamålsbeskrivningen brytas ner i delmoment för att därigenom tydligare kunna specifieras för den registrerade. Ändamålen måste vara tydliga, legitima och bestämda vid den tidpunkt de samlas in.

Hur kan Docue hjälpa mig?

Docue är en plattform som tillhandahåller 100+ avtalsmallar för tusentals olika situationer. Samtliga avtal anpassas efter kundens behov, varför du får ett skräddarsytt avtal varje gång du använder vår tjänst.

Med Docue upprättar du enkelt ditt företags integritetspolicy. Mallen är utrustad med en mängd valmöjligheter – för att du ska kunna anpassa policyn helt efter din egna verksamhet. Utöver den stora valmöjligheten får du även löpande information kring klausulernas innebörd och vad du som företagare måste tänka på i varje enskild situation.

Med Docue kan du också skapa avtal som:

Kom igång med Docue redan idag!

Författare
Docues jurister

Relaterade artiklar

Relaterade dokumentmallar

Om Docue

Docue ger dig tillgång till 150+ juridiska mallar, skapade av svenska jurister utifrån gällande rätt.

Enskild firma eller börsnoterat bolag? Docue används i företag av alla storlekar.

170 000 Användare
40 000 Företag
Läs gärna våra kundrecensioner

Redo att testa?

Med Docue kan du skapa dokument värda över 10 000 kr på så lite som 10 minuter.

Gratis testkonto