Denna GDPR ordlista på svenska och engelska innehåller vår sammanställning av centrala GDPR begrepp och definitioner. Det är viktigt att känna till betydelsen av dessa centrala begrepp, för att agera korrekt enligt dataskyddsförordingen. Därför har vi sammanställt denna GDPR Ordlista Svenska och Engelska.
Alla uppgifter som, direkt eller indirekt, ensamt eller tillsammans med andra uppgifter, kan bli kopplade till en fysisk levande person, är personuppgifter enligt GDPR.
Vanliga exempel på personuppgifter är: namn, profilbild, röstinspelning, telefonnummer, bostadsadress, e-postadress, användar-ID, kontonummer, registreringsnummer, IP-adress m.m.
På engelska är personuppgifter kallat för Personal Data.
Den individ som kan bli identifierad genom personuppgifterna, är enligt GDPR kallad för en Registrerad. Den registrerade är alltid en fysiskt levande individ.
På engelska är den registrerade kallad för Data Subject (inte ”the Registered”.
Behandling av personuppgifter kan ske på olika sätt. Allt som sker med personuppgifter, automatiserat eller på annat sätt, är en form av behandling. Behandling kan ske genom en enskild åtgärd eller genom en kombination av olika åtgärder.
Exempel på vanliga behandlingar av personuppgifter är: lagring, radering, delning, inläsning, registrering, kopiering, insamling, organisering, användning, justering, förstöring m.m.
På engelska är behandling av personuppgifter kallat för Processing (of Personal Data).
Profilering är ett sätt att behandla personuppgifter genom olika automatiska behandlingar och processer, för att bedöma olika personliga egenskaper hos en individ. Exempelvis för att analysera en fysisk persons hälsa, ekonomi, beteende, preferenser, intressen, bostadsort m.m.
På engelska är Profilering kallat för Profiling.
Varje personuppgiftsansvarig respektive personuppgiftsbiträde ska upprätta en så kallad Registerförteckning enligt artikel 30 GDPR. Detta register ska innehålla information om alla behandlingar som utförts under dess ansvar.
På engelska är en registerförteckning kallad för Records of Processing Activities och förkortas ROPA.
Pseudonymisering betyder enligt GDPR att personuppgifterna inte kan identifiera en fysisk person utan kompletterande uppgifter. De kompletterande uppgifterna ska vara förvarade på en annan plats, som genom olika tekniska och organisatoriska säkerhetsåtgärder säkerställer att en fysisk person inte kan bli identifierad genom enbart de pseudonymiserade personuppgifterna.
Ett vanligt exempel på pseudonymisering är om ett företag tilldelar sina användare ett unikt användar-ID istället för att använda användarens namn i ett register. Genom sådant användar-ID kan det bli kopplat till en fysisk person genom annat register, som finns på annan plats. Men det går inte att enbart genom den pseudonymiserade uppgiften att koppla det till en fysisk person.
På engelska är Pseudonymisering kallat för Pseudonymisation.
Tredje part innebär någon annan än den personuppgiftsansvarige (och de personer som är behöriga att behandla personuppgifterna), registrerade eller personuppgiftsbiträdet (och de personer som är behöriga att behandla personuppgifterna). En tredje part kan vara en juridisk person eller en fysisk person, institution, myndighet eller annat organ.
På engelska är tredje part kallat för Third Party.
Den som bestämmer ändamålet med en viss behandling av personuppgifter och hur behandlingen ska gå till, är enligt GDPR att anse som Personuppgiftsansvarig.
Fysiska personer, juridiska personer, myndigheter, institutioner eller andra organ kan vara personuppgiftsansvariga.
På engelska är personuppgiftsansvarig kallat för Personal Data Controller.
Den som behandlar personuppgifter för en personuppgiftsansvariges räkning, enligt den ansvariges instruktioner, är ett Personuppgiftsbiträde.
Fysiska personer, juridiska personer, myndigheter, institutioner eller andra organ kan vara personuppgiftsbiträden.
Exempel på personuppgiftsbiträden är anlitade redovisningskonsulter, webbutvecklare och andra tjänsteleverantörer. Dessa aktörer behandlar personuppgifter för den personuppgiftsansvariges räkning, och enligt den ansvariges instruktioner. Den personuppgiftsansvarige och personuppgiftsbitädet måste ingå ett skriftlig personuppgiftsbiträdesavtal enligt artikel 28 GDPR.
På engelska är personuppgiftsbiträde kallat för Personal Data Processor (inte ”Personal Data Assistant”.
Samtycke är en av de sex (6) rättsliga grunderna som finns enligt GDPR. En person kan lämna sitt frivilliga uttryckliga samtycke till att dennes personuppgifter får bli behandlade för ett visst angivet syfte och ändamål. Ett lämnat samtycke kan när som helst bli återkallat.
Det bör observeras att samtycken som blivit lämnade när det finns ett ojämlikt maktförhållande, inte är giltiga enligt GDPR. Exempelvis mellan en arbetsgivare och en arbetstagare, eller mellan en myndighet och medborgare. Detta beror på att det inte kan säkerställas att samtycket blivit lämnat frivilligt.
På engelska är samtycke kallat för Consent.
Det kan uppstå Personuppgiftsincidenter på olika sätt. Enligt GDPR innebär en personuppgiftsincident en säkerhetsincident som orsakat att behandlade personuppgifter blivit förstörda, gått förlorade, blivit ändrade eller kommit obehörig person tillhanda. En incident kan se avsiktligt eller oavsiktligt, exempelvis genom oaktsamhet eller på grund av brott (dataintrång m.m.).
På engelska är personuppgiftsincident kallat för Personal Data Breach (inte ”Personal Data Incident”).
En Tillsynsmyndighet är en oberoende offentlig myndigheter. Varje land inom EU/EES området har utsett var sin tillsynsmyndighet för att hantera GDPR-relaterade ärenden. I Sverige är det Integritetsskyddsmyndigheten (IMY) som är tillsynsmyndigheten.
På engelska är tillsynsmyndighet kallat för Supervisory Authority.