Denna promemoria, eller white paper som texten också kallas för, handlar om när dataskyddsförordningen (GDPR) ska tillämpas samt vilka undantag som finns.
Den som behandlar personuppgifter är skyldig att följa dataskyddsförordningen. Den gäller för både privat och offentlig verksamhet och är därmed tillämplig för exempelvis myndigheter, föreningar och företag.
Varje upplysning som kan hänföras till en viss person är att betrakta som en personuppgift. Flera upplysningar som i kombination gör det möjligt att identifiera en person är också att betrakta som personuppgifter. Några exempel på personuppgifter är namn, adress, e-postadress, IP-nummer och konto- och kreditkortsnummer. Observera att begreppet personuppgifter är vidsträckt, i synnerhet då en upplysning som i sig inte är att betrakta som en personuppgift kan komma att utgöra en personuppgift i kombination med andra upplysningar.
Med behandling avses en åtgärd eller en kombination av åtgärder avseende personuppgifter bl.a. insamling, registrering, organisering, lagring, bearbetning eller ändring, läsning, användning, utlämning genom överföring, spridning och radering eller förstöring. Begreppet kan i princip sägas innefatta allt som görs med personuppgifterna. Framför allt bör man tänka på att även lagring av personuppgifter är en behandling.
