Definitioner
De juridiska definitionerna i GDPR är inte så lätta att läsa och förstå, inte ens för experter på integritetsskydd. Detta blir tydligt när vi ser hur olika tolkningar görs i rättspraxis och riktlinjer från myndigheter och domstolar i olika länder, samt i EU-domstolen.
Nedan har vi samlat de ord som vi ofta använder i detta integritetscenter för att hjälpa dig att förstå deras betydelse. Vi har inte bara inkluderat den juridiska definitionen (som inte alltid är så hjälpsam), utan också en förklaring med andra ord och exempel.
Om du vill ha mer information uppmanar vi dig att besöka webbplatsen för en dataskyddsmyndighet. Via denna länk hittar du webbadressen till dataskyddsmyndigheterna i EU/EES.
Juridisk definition:
Personuppgiftsansvarig avser en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.
Med andra ord:
Personuppgiftsansvarig är det Getinge-företag (eller annat företag eller annan person) som bestämmer varför personuppgifterna används på ett visst sätt och hur denna användning kommer att se ut. Ett exempel är, som beskrivs i vår integritetsmeddelande för kunder, att det Getinge-företag som säljer en produkt till din arbetsgivare kommer att vara personuppgiftsansvarig för all hantering av dina personuppgifter när anställda i det Getinge-företaget kommunicerar med dig i samband med ett sådant köp. På samma sätt kommer din arbetsgivare att vara personuppgiftsansvarig för personuppgifter som används, vilket inkluderar Getinges anställda. Vi har båda separat beslutat vilka personuppgifter vi behöver för att säkerställa att vi kan kommunicera effektivt, på vilket sätt vi kommer att använda dem och hur länge sådana personuppgifter kommer att sparas. Ett annat exempel är att din arbetsgivare i många situationer är personuppgiftsansvarig för dina personuppgifter som anställd.
Juridisk definition:
Med personuppgiftsbiträde avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Med andra ord:
Ett personuppgiftsbiträde är ett företag (antingen ett externt företag eller ett koncernföretag) som inte har beslutsbefogenhet som personuppgiftsansvarig, utan agerar på uppdrag av det företaget och följer personuppgiftsansvariges instruktioner. Ett exempel kan vara en molntjänstleverantör som tillhandahåller någon typ av IT-system som används på ett sjukhus.
Juridisk definition:
En registrerad person är en identifierad eller identifierbar fysisk person som personuppgifterna avser.
Med andra ord:
Du, eller någon annan, som individ, vars personuppgifter vi på något sätt använder.
Behandling av personuppgifter är endast laglig om den personuppgiftsansvarige kan visa att det finns en giltig laglig grund. Detta innebär att Getinge, innan behandlingen av personuppgifter påbörjas, måste identifiera den tillämpliga lagliga grunden och säkerställa att kraven i denna uppfylls. Det finns sex lagliga grunder i GDPR:
a) Samtycke – den registrerade har gett sitt samtycke till behandling av sina personuppgifter för ett eller flera specifik ändamål.
b) Fullgörande av avtal – behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på den registrerades begäran innan ett avtal ingås.
c) Rättslig skyldighet – behandlingen är nödvändig för efterlevnad av en rättslig skyldighet som den personuppgiftsansvarige måste uppfylla.
d) Intressen av grundläggande betydelse – behandlingen är nödvändig för att skydda den registrerades eller en annan fysisk persons intressen som är av grundläggande betydelse.
e) Allmänt intresse – behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har ansvar för.
f) Berättigat intresse – behandlingen är nödvändig för att tillgodose den personuppgiftsansvariges eller en tredje parts berättigade intressen, utom när den registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter väger tyngre, särskilt när den registrerade är ett barn.
För Getinge är det främst de rättsliga grunderna som nämns under (a)-(c) och (f) som är tillämpliga. Dessa nämns alla i våra integritetsmeddelanden. Nedan ger vi mer information om var och en av dessa.
Samtycke
Samtycke definieras i GDPR som "varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne".
Med andra ord innebär detta att vi måste se till att du har fått korrekt information om vad vi ska göra med dina personuppgifter och att du frivilligt har gett ditt tydliga samtycke.
Fullgörande av ett avtal
Denna rättsliga grund gäller om vi behöver behandla dina personuppgifter för att fullgöra våra skyldigheter enligt det avtal vi har ingått med dig. Vi kan till exempel behöva bankuppgifter för att utföra betalningar till följd av att du har fullgjort en uppgift, vi behöver självklart ditt namn och personnummer för att kunna identifiera dig som part i avtalet, samt dina kontaktuppgifter för att kunna kommunicera om avtalet.
Rättslig skyldighet
Om vi enligt lag är skyldiga att fullgöra en skyldighet kan det innebära att vi måste behandla dina personuppgifter. Om ditt namn och din befattning till exempel förekommer i dokument som vi behöver för att fullgöra våra skyldigheter enligt tillämpliga lagar och förordningar om medicintekniska produkter, kommer vi att behålla sådana dokument och personuppgifterna däri, eftersom det är nödvändigt för att vi ska kunna fullgöra vår rättsliga skyldighet.
Berättigat intresse
Denna rättslig grund är en avvägning mellan personuppgiftsansvariges intresse och den registrerades intresse. Om Getinge skulle komma fram till att det berättigade intresset inte väger tyngre än den registrerades intressen, rättigheter och friheter, och om inga mildrande åtgärder kan vidtas, kan sådan behandling inte grundas på denna rättslig grund.
Berättigat intresse kan tillämpas i olika situationer, till exempel för att bygga relationer med kunder, direktmarknadsföring, bedrägeribekämpning, säkerhet och trygghet.
Juridisk definition:
Varje upplysning som avser en identifierad eller identifierbar fysisk person ("registrerad"), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Med andra ord:
Personuppgifter kan vara nästan vad som helst som säger något om dig som person, enskilt eller i kombination med annan information. Huruvida informationen betraktas som personuppgifter beror alltså på sammanhanget. Ett bra exempel är namnet på ett företag och dess adress. Denna information är inte personuppgifter per definition. I kombination med en anställds fullständiga namn och befattning blir det dock personuppgifter, eftersom det talar om var personen arbetar (plats) och vilket företag som är hans/hennes arbetsgivare. Ett annat exempel är ett namn. Om namnet inte är unikt och du inte har någon ytterligare information om personen kan namnet inte kopplas till en enskild individ. Det finns dock naturligtvis direkta identifierare som räcker för att identifiera någon, till exempel ett personligt identifikationsnummer (eftersom detta är kopplat till en enskild individ).
Andra exempel på personuppgifter:
- Kontaktuppgifter såsom e-postadress (om de t.ex. innehåller ditt namn och företag) och telefonnummer.
- Ålder, längd och vikt.
- Bilder och ljudinspelningar av individer som behandlas av datorer kan utgöra personuppgifter även om inga namn nämns.
- Krypterade uppgifter och olika typer av elektroniska identiteter, till exempel IP-adresser och cookies, betraktas som personuppgifter om de kan kopplas till fysiska personer.
- Information som har kodats, krypterats eller pseudonymiserats men som kan kopplas till en fysisk person med hjälp av kompletterande data.
"Integritetsmeddelande" är inte ett definierat begrepp i GDPR, men är ett vanligt namn på ett dokument som används av organisationer för att informera individer om deras behandling av personuppgifter. Att lämna information, till exempel i ett integritetsmeddelande, är inte bara en skyldighet enligt GDPR, utan också avgörande för att upprätthålla transparens mellan organisationer och individer. Med våra integritetsmeddelanden vill vi informera dig om vilka personuppgifter som samlas in, varför de samlas in, hur de kommer att användas och vem de kommer att delas med.
Juridisk definition:
En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Med andra ord:
Behandling är alla åtgärder som vidtas med personuppgifter. Det kan vara allt från att samla in och lagra data till att använda, dela eller till och med radera den. Om du gör något med personuppgifter behandlar du dem. Att endast ge tillgång till personuppgifter anses också vara behandling av personuppgifter. Nedan följer några exempel.
Insamling:
Insamling av personuppgifter kan ske t.ex. i form av insamling av e-postadresser för att kunna kommunicera med dig och skicka marknadsföringsmaterial eller annan företagsinformation.
Användning:
Under den månatliga löneprocessen kommer de personuppgifter du lämnat till din arbetsgivare att användas för att kunna skicka ut din lön till ditt bankkonto och eventuellt även det tillhörande lönebeskeden via e-post eller i pappersform direkt till din hemadress.
Radering:
Radering av personuppgifter sker när personuppgifterna inte längre behövs för det eller de ändamål för vilka de ursprungligen samlades in och lagrades, och lagringsperioden har löpt ut. Detta kan vara fallet om du måste lagra finansiella dokument i 10 år enligt finanslagstiftningen och om denna period har löpt ut kan uppgifterna raderas.
Delning:
Kan ske om vi behöver dela dina personuppgifter med en tjänsteleverantör som fungerar som personuppgiftsbiträde för Getinge för att ge dig den nödvändiga tillgången till programvara eller lösningar som tillhandahålls av tredje part.
Inspelning:
Kan ske om någon agerar som talare i ett webbinarium eller annat evenemang och det inspelade materialet kommer att användas för att delas med deltagarna eller andra personer efteråt.
Varje medlemsstat ska se till att en eller flera oberoende offentliga myndigheter ansvarar för att övervaka tillämpningen av GDPR, i syfte att skydda dina grundläggande rättigheter och friheter i samband med behandling av personuppgifter och för att underlätta det fria flödet av personuppgifter inom Europeiska unionen.
Som anges på vår sida om dina rättigheter har du rätt att utöva vissa rättigheter gentemot en organisation, t.ex. att få information om behandlingen av dina personuppgifter eller att få personuppgifter raderade. Dessutom har du rätt att lämna in ett klagomål direkt till tillsynsmyndigheten angående behandlingen av dina personuppgifter. I denna länk hittar du information om tillsynsmyndigheterna i EU/EES.