Dataskyddsförordningens grundläggande principer

Myndigheter, organisationer och företag som behandlar personuppgifter måste göra det i enlighet med dataskyddsförordningens grundläggande principer. Här kommer vi att sammanfatta principerna som är förordningens kärna och som alltså ska genomsyra all hantering av personuppgifter.

Principerna i korthet

För det första är principer otroligt viktigt när man ska tillämpa dataskyddslagen med tanke på att den implementerades relativt nyligen. Då vi inte har särskilt mycket praxis att gå på så blir principerna ett viktigt hjälpmedel. GDPR utvecklas dock ständigt och det kan snabbt komma nya saker att ta i beaktning.

Behandling av personuppgifter måste följa dataskyddslagen, dataskyddsförordningen och övriga, kompletterande, lagtexter. Hanteringen av personuppgifter ska också vara proportionerlig och rättvis i förhållande till den som registreras. 

Hanteringen ska vara öppen. Som individ har du rätt att veta hur och när uppgifter om dig behandlas. Hanteringen behöver därför vara lättbegriplig och tydligt kommunicerad. Det får inte finnas några tvivel kring att personuppgifter samlas in eller varför personuppgifter behandlas. De som registreras ska också kunna ta reda på hur eventuella fel i de registrerade uppgifterna kan rättas till och vad som krävs för att uppgifterna ska raderas helt och hållet.

Principer för dataskydd
Kan du bocka i alla principer för dataskydd?

Ändamålsbegränsning

Personuppgifter som inte fyller en funktion för verksamheten ska inte samlas in. Dataskyddsförordningen anger vilka ändamål som berättigar behandling av personuppgifter. Innan ett företag, en organisation eller en myndighet påbörjar insamling av personuppgifter måste det stå klart för alla inblandade vilka uppgifter som får samlas in. Utifrån ändamålen som alltså måste ha en rättslig grund i dataskyddsförordningen. Annars sker en juridisk överträdelse som till exempel en personuppgiftsincident.

Ett ändamål för personuppgiftsbehandling får inte vara alltför vagt. “Förbättrad användarupplevelse” eller “framtida forskning” är två exempel på ändamål som inte är tillräckligt konkreta. De som får sina uppgifter registrerade kan i det fallet inte bedöma vad personuppgiftsbehandlingen kommer att innebära.

Uppgiftsminimering

Personuppgifter som sparas och behandlas får inte vara för omfattande i förhållande till ändamålet. Kopplingen till ändamålet måste vara väldigt tydlig. Att spara personuppgifter för eventuella framtida behov är oftast inte tillåtet.

Riktighet

Personuppgifter som sparas och behandlas måste vara korrekta och inhämtade från en källa som innebär att de är uppdaterade. Felaktig personuppgifter ska antingen rättas eller raderas. Det måste finnas rutiner som innebär att man kan upptäcka och korrigera felaktigheter.

Lagringsminimering

Förutom att dataskyddsförordningen, dataskyddslagen och komplementära bestämmelser avgör vilken information som får sparas är det viktigt att inte lagra uppgifter längre än nödvändigt. Det är ändamålet som avgör hur länge personuppgifter får behandlas. Uppgifter som inte längre behövs ska gallras ut och raderas eller avidentifieras. Det är ett arbete som ska utföras systematiskt och enligt fasta rutiner.

I vissa fall kan man behöva spara personuppgifter relativt länge, även om de inte används aktivt. Ett exempel på det är bokföring som, enligt bokföringslagen, ska sparas i sju år. Men när det handlar om långtidslagring av personuppgifter ska det ske på ett sådant sätt att handlingarna inte längre är sökbara inom ramarna för den dagliga verksamheten. Uppgifterna ska avskiljas eller förses med andra behörighetskrav än personuppgifter som används aktivt.

Personuppgifter kan få arkiveras

I vissa fall kan personlig information lagras, när den slutat vara aktuell, utan att det krävs i till exempel bokföringslagen. Detta kan vara fallet om informationen är av allmänt intresse eller värd att bevara som ett statistiskt underlag eller av forskningsändamål. I dessa fall krävs det dock att information skyddas och bara är åtkomlig för just dessa ändamål.

Integritet och konfidentialitet

Vid all hantering av personlig information måste uppgifterna skyddas. Myndigheter, företag och organisationer som är behöriga att lagra personuppgifter måste vidta säkerhetsåtgärder så att informationen inte riskerar att hamna i orätta händer. Åtgärder måste också vidtas så att information inte kan förstöras av misstag. För att säkerställa detta krävs ett tekniskt skydd i form av till exempel anonymisering, brandväggar och kryptering. Det är också en fråga om att vidta organisatoriska åtgärder.

Ansvarsskyldighet

Den som hanterar personuppgifter måste kunna visa att de grundläggande principer som vi redogjort för här efterföljs. Dokumentation och interna riktlinjer som visar hur hanteringen går till måste kunna uppvisas. Här spelar också ett dataskyddsombud en viktig roll även om det inte är ombudet utan arbetsgivaren som är ytterst ansvarig för hanteringen av personuppgifter.

Hur ska principerna tolkas? Ta reda på det här!