Det finns tre faser i livscykeln för personuppgifter. En personuppgift är en uppgift som går att koppla till en fysiskt levande person. Exempelvis namn, personnummer och e-post, men även registreringsnummer, cookies och IP-adresser kan vara personuppgifter. Dessutom skiljer GDPR på vanliga och integritetskänsliga personuppgifter, varav känsliga personuppgifter är en av fyra grupper av de integritetskänsliga.
Personuppgifter som går att koppla till en person genom en bakvägsidentifikation, är också personuppgifter även fast de inte är tydliga. Ett praktiskt exempel är om det finns en säkerhetskod på ett kort för att kunna veta vem ägaren är om den blir inlämnad till polisen. Därmed måste ägarens namn förekomma registrerat i ett register och därför är säkerhetskoden också en personuppgift.
Tre faser i livscykeln för personuppgifter
- Företaget samlar först in personuppgifter
För att ett företag ska få samla in personuppgifter, måste de uppge vilket ändamål de har med behandlingen. Dessutom måste företaget bland annat ange om personuppgifterna kommer bli överförda till tredjeland. Vilken rättslig grund företaget använder för behandlingen och hur mycket personuppgifter som kommer bli behandlade ska också bli förmedlade till den registrerade personen. Informationen ska framgå innan företaget behandlar uppgifterna.
Exempelvis är det vanligt att företaget har ett kontaktformulär på hemsidan där besökare kan skriva in sitt namn och e-post när de skriver ett meddelande. Vid sådana fall behöver informationen framgå tydligt vid kontaktformuläret. Normalt sker detta genom att företaget publicerar sin integritetspolicy vid formuläret. I samband med det bör företaget begära att besökaren godkänner behandlingen av personuppgifterna genom att aktivt bocka i en kryssruta för samtycke.
- Därefter behandlar företaget personuppgifterna
Ett företag som behandlar personuppgifter måste se till att ha tillräckliga tekniska och organisatoriska säkerhetsåtgärder som behövs. Dessutom är det viktigt att behandla personuppgifterna korrekt och att utan dröjsmål rätta eller radera felaktiga personuppgifter. Exempelvis ska en arbetsgivare inte skicka en lönespecifikation via okrypterat mejl om det innehåller känsliga personuppgifter såsom sjukfrånvaro, eftersom det inte är tillräckligt säkert. Uppgift om hälsa är en känslig personuppgift enligt GDPR. Ju känsligare personuppgifter, desto högre säkerhet måste företaget ha. Om en personuppgiftsincident uppstår, måste företaget ibland rapportera det inom 72 timmar från upptäckt till IMY (Integritetsskyddsmyndigheten).
- I den sista fasen ska företaget gallra personuppgifterna
Gallra personuppgifter innebär att permanent radera personuppgifterna. När ett företag inte längre behöver personuppgifter för det syfte de blev inhämtade för, ska de bli raderade. Med andra ord avgör ändamålet för behandlingen, när personuppgifter ska bli raderade. Dessutom ska företag radera personuppgifter om en registrerad begär det. Däremot finns det undantag, såsom om någon annan lag tillåter behandlingen och det utgör en rättslig förpliktelse att fortsätta behandlingen. Det finns vissa lagar som innebär att företag måste spara personuppgifter under en längre tid, exempelvis bokföringslagen. Även grundlagarna står över GDPR.
