Europa-parlamentets och Rådets Förordning (EU) av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävandet av direktiv 95/46/EG, gäller som lag i alla EU:s medlemsländer från och med den 25 maj 2018. Förordningen ersätter den svenska personuppgiftslagen.

All slags information som direkt eller indirekt kan hänföras till fysisk person som lever. Här avses exempelvis uppgifter som kan identifiera den fysiska personen genom ett namn, ett identifikationsnummer, en lokaliseringsuppgift, eller internetadresser, eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Uppgift som rör hälsa i en hälsodeklaration, uppgift som rör sexualliv, avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening.

Fysisk person vars personuppgifter lagras eller behandlas av personuppgiftsansvarig.

En åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Behandling av personuppgifter som inte ingår i, eller är avsedda att ingå i, en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Ostrukturerad behandling omfattar även dokument och annat som inte lagrats elektroniskt, så länge det är möjligt att någorlunda lätt hitta det man söker, exempelvis ett arkiv med rådgivningsdokumentation som är sorterat efter namn.

Är typiskt sett en personuppgiftsbehandling i databaser som struktureras för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter.

Personuppgifts-ansvarig är skyldig att föra en förteckning över de behandlingar som genomförs, antingen av Personuppgiftsansvarige själv eller av dennes Personuppgiftsbiträde. Detta register ska bland annat innehålla uppgifter om namn och kontaktuppgifter för den personuppgiftsansvariga, ändamålet med behandlingen och en beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

Hälsodeklarationer och därmed likartade handlingar som Bolaget och samarbetspartners tar in och på något sätt tar del av är att betrakta som behandling av känsliga uppgifter. Det kräver därmed att kunden samtycker till behandlingen.

En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller att personuppgifter kommer på avvägar eller obehörig åtkomst till de personuppgifter som överförs, lagras eller på annat sätt behandlats.

En extern part, fysisk eller juridisk person, som behandlar personuppgifter för den personuppgiftsansvarigas räkning. Personuppgiftsbiträdet får endast behandla personuppgifter i enlighet med instruktioner som finns i ett skriftligt avtal mellan bolaget och personuppgiftsbiträdet.

För att få behandla personuppgifter helt eller delvis automatiserat, måste man göra en anmälan om detta till Datainspektionen. DOCK gäller detta inte om man istället anmält ett Dataskyddsombud till Datainspektionen.

Dataskyddsombudet är alltid en fysisk person och den som övervakar att allt företaget gör är rätt ur ett GDPR-perspektiv. På Datainspektionens hemsida kan man läsa vilka krav som ställs på personuppgiftsombudet.