Publicerad: 8 maj 2018

Fråga och svar

Ska en papperslista med personuppgifter registerföras?

När är dataskyddsförordningen tillämplig? Är inte GDPR teknikneutral d.v.s en papperslista med personuppgifter bör också registerföras och bedömas utifrån GDPR?

Svar: När man talar om behandling av personuppgifter i dataskyddsförordningen (GDPR) så är definitionen teknikneutral på så sätt att man med behandling menar alla typer av åtgärder eller en kombination av åtgärder som berör personuppgifter eller uppsättningar av personuppgifter, oberoende av om det utförs automatiserat eller inte (insamling, registrering, organisering, strukturering, lagring, bearbetning/ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring). Men det innebär inte per automatik att alla typer av behandlingar omfattas av dataskyddsförordningens tillämpningsområde.

För att behandlingen ska omfattas av dataskyddsförordningen måste behandlingen av personuppgifter helt eller delvis ske på automatisk väg eller - om behandlingen är helt manuell, ingå i eller komma att ingå i ett register.

Med manuellt register menas uppgifter som är ordnade enligt särskilda kriterier. I Sverige har regeln om manuell behandling tolkats på så sätt att det krävs två separata sökkriterier för att regelverket ska gälla för behandlingen ifråga. Till exempel att man kan identifiera personen med både namn och personnummer. För- och efternamn räknas som ett sökkriterium.

För helt eller delvis automatiserad behandling gäller regelverket både personuppgifter som lagras i registerform och i ostrukturerad form. Det senare kan vara exempelvis personuppgifter i ordbehandlingsdokument, på webbplatser eller i ett elektroniskt brev.

Exempel: En papperslista som är utskriven från skolans it-tjänst är alltså en behandling som omfattas av dataskyddsförordningen. Men en helt handskriven lista med personuppgifter och andra uppgifter skrivna för hand och som inte ska föras in i någon it-tjänst eller komma att ingå i något register omfattas inte av dataskyddsförordningen och behöver alltså inte föras in i registerförteckningen.

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot