Grundläggande principer vid behandling av personuppgifter enligt GDPR
Det finns sju stycken grundläggande principer vid behandling av personuppgifter enligt GDPR som företag måste beakta vid behandlingen. Dessutom måste företag och andra personuppgiftsansvariga kunna styrka att de följer GDPR inom sin verksamhet. Det kan ske på olika sätt. Exempelvis genom att upprätta interna rutiner och dokumentera dem, samt genom att se till att samtliga medarbetare känner till gällande grundläggande principer vid behandling av personuppgifter enligt GDPR. På så sätt kan företaget arbeta aktivt med att säkerställa att personuppgifter blir behandlade korrekt enligt lagen.
Nedan följer en beskrivning av gällande sju stycken grundläggande principer vid behandling av personuppgifter enligt GDPR som personuppgiftsansvariga ska känna till och följa.
Grundläggande principer vid behandling av personuppgifter enligt GDPR
Laglighet, korrekthet och öppenhet
Enligt denna princip ska all behandling vara laglig, behandlingen ska ske korrekt och ska vara transparent gentemot de registrerade personerna. För att en behandling ska vara laglig, måste behandlingen ha stöd i en utav de sex stycken rättsliga grunderna. Här kan du läsa mer om de rättsliga grunderna.
De behandlade personuppgifterna ska vara korrekta, vilket innebär behandlingen ska vara rättvis, proportionerlig till ändamålet med behandlingen och rimlig i förhållande till den registrerade personen.
All behandling ska vara präglad av öppenhet, vilket innebär att den registrerade personen på ett klart och tydligt sätt ska få information om behandlingen av dennes personuppgifter. Informationen ska innefatta beskrivningar om hur behandlingen sker, syftet med behandlingen, hur länge personuppgifterna blir sparade, vem de bli delade med osv. Informationen ska vara skriven med ett enkelt språk. Detta kan företag uppfylla genom att exempelvis skriva en integritetspolicy och publicera den på sin hemsida samt i anslutning till eventuella kontaktformulär.
Ändamålsbegränsning
Principen innebär att personuppgifter enbart får bli insamlade för specifikt angivna och berättigade ändamål. Enligt GDPR är det alltså inte tillåtet att samla in personuppgifter utan ett syfte med insamlingen och behandlingen. Ändamålet ska vara konkret och specifikt för varje enskild behandling. Dessutom är det bra att dokumentera ändamålen, för att styrka att verksamheten följer GDPR.
Uppgiftsminimering
Det är inte tillåtet att samla in fler personuppgifter än vad som är nödvändigt, om man inte får den registrerade personens föregående samtycke till sådan behandling. Denna principen syftar till att minimera antalet personuppgifter som blir behandlade, till enbart de nödvändiga personuppgifterna. De behandlade personuppgifterna ska vara adekvata, relevanta och inte för omfattande.
Riktighet
Den grundläggande principen om riktighet innebär att personuppgifter som blir behandlade ska vara riktiga och fullständiga. Felaktiga personuppgifter ska omgående bli rättade och ofullständiga kompletterade. Det är bra att upprätta rutiner för att säkerställa att denna principen blir beaktad och att personuppgifterna är riktiga och fullständiga.
Lagringsminimering
Principen om lagringsminimering innebär att personuppgifterna enbart får bli lagrade så länge som det är nödvändigt. När personuppgifterna inte länge är nödvändiga att behandla, ska de inte längre bli lagrade. Personuppgifter ska därför bli gallrade med jämna mellanrum. För att styrka att företaget genomför gallring som GDPR kräver, är det bra att upprätta skriftliga rutiner för gallringen, exempelvis när det ska ske, och även en loggbok för att notera när och hur gallring har blivit genomförd.
Integritet och konfidentialitet
Personuppgifter som blir behandlade inom verksamheten ska vara skyddade genom olika tekniska och organisatoriska säkerhetsåtgärder. Detta ska ske för att säkerställa integritet och konfidentialitet av de behandlade personuppgifterna. Exempelvis bör företaget se till att interna system och register är skyddade med lösenord och att enbart behöriga personer har tillgång till dessa.
Tekniska säkerhetsåtgärder är exempelvis kryptering, brandväggar, antivirusprogram, säkerhetskopiering m.m.
Organisatoriska säkerhetsåtgärder är till exempel interna rutiner, riktlinjer, policys och instruktioner som medarbetare ska följa inom verksamheten vid behandling av personuppgifter.
Ansvarsskyldighet
Denna principen innebär att den personuppgiftsansvarige har ett ansvar och en skyldighet att följa ovan angivna grundläggande principer vid behandling av personuppgifter enligt GDPR. Skyldigheten innebär även att den personuppgiftsansvarige måste kunna styrka och visa att så sker samt på vilket sätt det sker. Därför är det bra och viktigt att upprätta interna dokument, rutiner, loggböcker m.m.
I Sverige är det Datainspektionen som är tillsynsmyndigheten. Datainspektionen byter namn till ”Integritetsskyddsmyndigheten” den 1 januari 2021.
Mer information
Läs fler inlägg om juridik
Lagen kräver publicerat cookiemeddelande på webbplatser
Visste du att lagen kräver ett publicerat cookiemeddelande på webbplatser som använder cookies, oavsett vilka typer av cookies som blir
Dela detta inlägg: