Enkelt uttryckt är en personuppgift allt som kan identifiera en person, enskilt eller genom att pussla ihop information från flera källor. Skatteverket har en bra artikel om vad en personuppgift är på sin webbplats.
GDPR ställer följande krav på oss:
Vi behöver veta:
- Varför vi samlar in data
- Vad vi sparat om enskilda personer
- Var uppgifterna är lagrade
- Hur vi använder dem
Vi behöver kunna ge de som personuppgifterna rör möjlighet att:
- Läsa vad som finns om dem
- Rätta felaktigheter
- Dra tillbaka samtycke och därmed bli borttagen ur systemet.
- I vissa fall kan kunden även kräva att uppgifter skall kunna överlämnas till en annan organisation, sk portabilitet.
När vi inte längre har skäl att behålla personuppgifterna så måste de tas bort
- Vill vi ha kvar personuppgifter så behöver de anonymiseras så man inte kan spåra dess ursprung till en specifik person.
När en person begär att få ut uppgifter från alla dessa system och eventuellt begär att data skall rättas eller ta tillbaka medgivande så måste vi ha en process för att se till att det utförs. Det kan vara tekniskt komplicerat då det på grund av andra lagar, såsom bokföringslagen, måste finnas kvar vissa uppgifter. Data som en kund vill ta bort kan även vara mycket värdefull för företaget och kan kanske sparas i en annan form, tex som anonymiserad. För att det i så fall skall vara möjligt är det viktigt att skapa en lösning för det i tid, inte när kunden vill bli borttagen.
Dessa krav påverkar hur ett system byggs/byggs om. Det är därför viktigt att ha en helhetssyn på systemen och dess data. Det är inte ovanligt att personuppgifter är spridda i många system. Dessa kan ligga i såväl den egna serverhallen som i molnlösningar. Data kan även ligga hos leverantörer av en tjänst och i allra värsta fall, ostrukturerat på fildelningsytor, personalens laptops och/eller USB-minnen. Inget av detta behöver vara olagligt i sig, men gör det svårt att uppfylla tidigare nämnda krav. För att göra det extra komplicerat så finns det personuppgifter i utvecklingsmiljöer där det ställs ännu hårdare krav, vilket vi återkommer till i den sista artikeln i denna serie.