Sammanfattning

Systemintegrationer är inte alltid enkla att betrakta ur ett GDPR-perspektiv. Diskussionen runt vad som är tillåtet inom GDPR hänförs väldigt ofta till systemens fysiska gränser. GDPR tar inte hänsyn till ett systems fysiska gränser utan om systemet logisk sträcker sig till en annan juridiks person som utför behandlingar på uppdrag av personuppgiftsansvarig och i vilket land den juridiska personen (extern part) har sitt säte.

Därför behöver en överföring betraktas ur tre perspektiv för att reda ut hur överföringen skall betraktas och om det är tillåtet i enlighet med GDPR. Dessa tre perspektiv är:

1. Vart befinner sig infrastrukturen

2. Vilken rättslig grund har behandlingen

3. Vem är personuppgiftsansvarig för behandlingen

Ett försök att förtydliga de olika perspektiven syns återkommande i diagrammen nedan.

Inledning

Syftet med denna sida är att skapa en gemensam förståelse för juridiska och säkerhetsmässiga aspekter på systemintegration av personuppgifter. Målsättningen är att underlätta diskussion mellan informationsägare, integrationsarkitekter och andra inblandade när man värderar olika lösningsförslag för integration.

...