Grundläggande principer

All behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen.

Ska genomsyra all personuppgiftsbehandling

De grundläggande principerna kan sägas vara kärnan i dataskyddsförordningen. Principerna gäller för all personuppgiftsbehandling och sätter de yttersta ramarna för vad som är en tillåten behandling. Det är därför viktigt att ni förstår principerna och tillämpar dem i er verksamhet när ni behandlar personuppgifter. Ha alltid principerna i bakhuvudet när ni arbetar med personuppgiftsbehandling.

Principerna innebär bland annat att ni som personuppgiftsansvariga

måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
inte ska behandla fler personuppgifter än vad som behövs för ändamålen
ska se till att personuppgifterna är riktiga
ska radera personuppgifterna när de inte längre behövs
ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.

En genomgång av de grundläggande principerna

All personuppgiftsbehandling måste vara laglig, korrekt och präglas av öppenhet.

Laglighet

Att personuppgiftsbehandlingen ska vara laglig innebär först och främst att ni måste ha en rättslig grund för all er personuppgiftsbehandling. I dataskyddsförordningen finns sex rättsliga grunder, varav en ska vara uppfylld för varje personuppgiftsbehandling.

Ni måste också följa övriga principer och bestämmelser i dataskyddsförordningen och i annan kompletterande lagstiftning.

Korrekthet

Behandlingen av personuppgifter ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade.

Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär. Det betyder att ni ska väga era egna intressen mot de registrerades innan personuppgifterna behandlas. Ni ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte ske på dolda eller manipulerande sätt.

Öppenhet

Det ska vara klart och tydligt för de registrerade hur ni behandlar deras personuppgifter. De ska alltså veta att ni samlar in personuppgifter, varför ni samlar in dem och hur ni sedan använder dem. De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan få felaktiga uppgifter rättade och hur de kan få personuppgifter raderade.

De registrerade måste därför få information om allt detta. Informationen ska vara lätt att hitta och den ska vara formulerad på ett sätt som är enkelt och begripligt. Det är särskilt viktigt att använda ett klart och tydligt språk om de registrerade är barn.

Information som ska lämnas till de registrerade när ni samlar in personuppgifter

Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ni måste därför ha klart för er varför ni ska behandla personuppgifterna redan när ni börjar samla in dem. Ändamålen sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem. Dokumentera vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

Specifika och berättigade ändamål

Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga. Det är till exempel inte tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, utan att också ange syftet med kontrollen. Syftet med kontrollen är kanske övervakning av säkerhets- eller tekniska skäl eller uppföljning av interna regler.

Det räcker normalt inte heller att ert ändamål enbart är att "förbättra användarnas upplevelse", "it-säkerhet" eller "framtida forskning". Det är alltför brett uttryckt, och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära.

Ändamålet måste också vara berättigat. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.

Behandla redan insamlade personuppgifter på nya sätt?

Om ni vill behandla insamlade personuppgifter på ett nytt sätt, måste det vara förenligt med de ursprungliga ändamålen. I sådana fall kan ni stödja er på samma rättsliga grund som ni hade när ni samlade in personuppgifterna. Kom ihåg att ni måste informera de registrerade om den nya personuppgiftsbehandlingen innan den påbörjas.

Om ni däremot vill använda personuppgifterna på ett sätt som inte är förenligt med de ursprungliga ändamålen, är det fråga om en helt ny personuppgiftsbehandling. Ni måste då börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare.

Är den nya personuppgiftsbehandlingen förenlig med de ursprungliga ändamålen?

När ni bedömer om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska ni bland annat ta hänsyn till och ställa er följande frågor:

Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
I vilket sammanhang har ni samlat in personuppgifterna? Vilket förhållande har de registrerade till er som personuppgiftsansvarig? Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
Vilken typ av personuppgifter ska ni behandla? Är uppgifterna känsliga?
Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
Vilka skyddsåtgärder har ni, till exempel behörighetsstyrning, kryptering och pseudonymisering?

Det är som regel förenligt med de ursprungliga ändamålen att behandla personuppgifter även för

arkivändamål av allmänt intresse
vetenskapliga eller historiska forskningsändamål
statistiska ändamål.

Ni måste dock ha vidtagit lämpliga säkerhetsåtgärder för att skydda de registrerades rättigheter.

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Behandla aldrig fler personuppgifter än vad som behövs. De personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha".

Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, uppdaterade. Om personuppgifterna inte stämmer ska ni rätta eller radera dem. Det är därför viktigt att det finns rutiner på plats för att kunna korrigera och ta bort oriktiga personuppgifter, till exempel om en registrerad begär det.

Ni får spara personuppgifter så länge som de behövs för ändamålet med personuppgiftsbehandlingen. När personuppgifterna inte längre behövs för ändamålet ska ni radera eller avidentifiera dem. Ni bör därför införa rutiner för gallring av personuppgifter, till exempel att ni genomför regelbundna kontroller eller raderar efter viss tid.

Personuppgifter som måste sparas

I vissa fall måste ni spara handlingar som innehåller personuppgifter även efter det att ni slutat använda dem. Det gäller till exempel bokföring, där bokföringslagen ställer krav på hur länge vissa handlingar ska sparas. Lagra då handlingarna på ett sådant sätt att de inte längre är tillgängliga i den dagliga verksamheten, det vill säga avskilj personuppgifterna. Det kan ni göra genom att separera handlingarna.

Det kan också vara tillåtet att lagra personuppgifter när det ursprungliga ändamålet inte längre är aktuellt, om det sker för

arkivändamål av allmänt intresse
vetenskapliga eller historiska forskningsändamål
statistiska ändamål.

Ni måste dock alltid vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna.

När ni behandlar personuppgifter måste ni se till att uppgifterna skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder.

Alla personuppgifter som ni behandlar måste skyddas, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Ni ska också se till så att personuppgifter inte förloras eller blir förstörda, till exempel genom olyckshändelser.

Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.

Ni ansvarar för att följa de grundläggande principerna om personuppgiftsbehandling. Ni måste också kunna visa att ni följer dem och hur.

Ni kan visa att ni följer de grundläggande principerna på flera sätt, till exempel genom att

lämna tydlig information till de registrerade
föra register över och dokumentera de personuppgiftsbehandlingar som pågår i er organisation, inklusive vilka överväganden ni har gjort
upprätta interna riktlinjer för dataskydd (en dataskyddspolicy) och utbilda personalen
bygga in integritetsvänliga lösningar i era system (så kallat inbyggt dataskydd)
göra en konsekvensbedömning innan ni påbörjar personuppgiftsbehandling som innebär särskilda integritetsrisker
ansluta er till en godkänd uppförandekod eller certifieringsmekanism.

Se filmen om grundläggande principer

Det här är en av flera filmer som ger en snabb genomgång av de viktigaste delarna i dataskyddsförordningen. Se fler kunskapsfilmer om GDPR på IMY play.

Checklista