meny

Dataskyddsförordningens grundläggande principer

All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen.

Principer som ska genomsyra all personuppgiftsbehandling

I dataskyddsförordningen finns ett antal grundläggande principer som kan sägas vara kärnan i förordningen. Principerna gäller för all personuppgiftsbehandling, och det är viktigt att du förstår och tillämpar dem.

Ha alltid principerna i bakhuvudet när du arbetar med personuppgiftsbehandling.

Principerna i korthet

Principerna innebär bland annat att ni som personuppgiftsansvariga

  • måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
  • bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
  • inte ska behandla fler personuppgifter än vad som behövs för ändamålen
  • ska se till att personuppgifterna är riktiga
  • ska radera personuppgifterna när de inte längre behövs
  • ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
  • ska kunna visa att och hur ni lever upp till dataskyddsförordningen.

Nyhet: Ansvarsskyldighet

Den som är bekant med personuppgiftslagen känner igen sig i dessa grundläggande principer. En nyhet är dock att det inte längre är tillräckligt att följa lagen, utan den som är ansvarig för personuppgiftsbehandlingen måste också kunna visa att och hur man följer bestämmelserna i dataskyddsförordningen.

Principerna

Laglighet, korrekthet och öppenhet
Ändamålsbegränsning
Uppgiftsminimering
Riktighet
Lagringsminimering
Integritet och konfidentialitet
Ansvarsskyldighet

Laglighet, korrekthet och öppenhet

All personuppgiftsbehandling måste vara laglig, korrekt och präglas av öppenhet.

Det ska vara lagligt

Att personuppgiftsbehandlingen ska vara laglig innebär först och främst att ni måste ha en rättslig grund för all er personuppgiftsbehandling. I dataskyddsförordningen finns sex rättsliga grunder, varav en ska vara uppfylld för varje personuppgiftsbehandling.

Ni måste också följa övriga principer och bestämmelser i dataskyddsförordningen och i annan kompletterande lagstiftning.

Det ska vara korrekt

Behandlingen av personuppgifter ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade.

Personuppgiftsbehandlingen ska stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär. Det betyder att ni ska väga era egna intressen mot de registrerades innan personuppgifterna behandlas. Ni ska också ta hänsyn till vilken personuppgiftsbehandling de registrerade rimligen kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte ske på dolda eller manipulerande sätt.

Informera de registrerade

Det ska vara klart och tydligt för de registrerade hur ni behandlar deras personuppgifter. De ska alltså veta att ni samlar in personuppgifter, varför ni samlar in dem och hur ni sedan använder dem. De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan begära registerutdrag, hur de kan få fel rättade och hur de kan få personuppgifter raderade.

De registrerade måste därför få information om allt detta. Informationen ska vara lätt att hitta och den ska vara formulerad på ett sätt som är enkelt och begripligt. Det är särskilt viktigt att använda ett klart och tydligt språk om de registrerade är barn.

Information som ska lämnas till de registrerade när ni samlar in personuppgifter

Ändamålsbegränsning

Ni får bara samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Ni måste därför ha klart för er varför ni ska behandla personuppgifterna redan när ni börjar samla in dem. Ändamålen sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem.

Specifika och berättigade ändamål

Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga. Det är till exempel inte tillräckligt att ange "kontroller" som ändamål för loggning och övervakning, utan att också ange syftet med kontrollen. Syftet med kontrollen är kanske övervakning av säkerhets- eller tekniska skäl eller uppföljning av interna regler.

Det räcker normalt inte heller att ert ändamål enbart är att "förbättra användarnas upplevelse", "it-säkerhet" eller "framtida forskning". Det är alltför brett uttryckt, och de registrerade kan inte bedöma vad sådan personuppgiftsbehandling kan innebära.

Ändamålet måste också vara berättigat. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.

Informera de registrerade

De registrerade har rätt att känna till varför ni behandlar deras personuppgifter, vilka ändamålen är. Informera de registrerade när ni samlar in uppgifterna, och även om en registrerad person begär det.

Dokumentera ändamålen

Dokumentera vilka ändamål ni har med personuppgiftsbehandlingen. Det behöver ni för att kunna visa att ni uppfyller principen om ansvarsskyldighet.

Behandla redan insamlade personuppgifter på nya sätt?

Om ni vill börja behandla insamlade personuppgifter på ett nytt sätt, måste det vara förenligt med de ursprungliga ändamålen. I sådana fall kan ni stödja er på samma rättsliga grund som ni hade när ni samlade in personuppgifterna. Kom ihåg att ni måste informera de registrerade om den nya personuppgiftsbehandlingen innan den påbörjas.

Om ni däremot vill använda personuppgifterna på ett sätt som inte är förenligt med de ursprungliga ändamålen, är det fråga om en helt ny personuppgiftsbehandling. Ni måste då börja om från början och finna en rättslig grund för personuppgiftsbehandlingen, stämma av så att den sker i enlighet med de grundläggande principerna och så vidare.

Är den nya personuppgiftsbehandlingen förenlig med de ursprungliga ändamålen?

När ni bedömer om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska ni bland annat ta hänsyn till och ställa er följande frågor:

  • Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
  • I vilket sammanhang har ni samlat in personuppgifterna? Vilket förhållande har de registrerade till er som personuppgiftsansvarig? Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
  • Vilken typ av personuppgifter ska ni behandla? Är uppgifterna känsliga?
  • Vilka konsekvenser kan personuppgiftsbehandlingen få för de registrerade?
  • Vilka skyddsåtgärder har ni, till exempel behörighetsstyrning, kryptering och pseudonymisering?

Det är som regel förenligt med de ursprungliga ändamålen att behandla personuppgifter även för

  • arkivändamål av allmänt intresse
  • vetenskapliga eller historiska forskningsändamål
  • statistiska ändamål.

Ni måste dock ha vidtagit lämpliga säkerhetsåtgärder för att skydda de registrerades rättigheter.

Uppgiftsminimering

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet.

Personuppgifter som hör till saken

Ni ska aldrig behandla fler personuppgifter än vad som behövs, och de personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha".

Riktighet

Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, uppdaterade.

Rätta eller radera felaktiga personuppgifter

Om personuppgifterna inte stämmer ska ni rätta eller radera dem. Det är därför viktigt att det finns rutiner på plats för att kunna korrigera och ta bort oriktiga personuppgifter, till exempel om en registrerad begär det.

Lagringsminimering

Ni får bara spara personuppgifter så länge som de behövs för ändamålet med personuppgiftsbehandlingen.

Gallra personuppgifter som inte behövs

När personuppgifterna inte längre behövs för ändamålet ska ni radera eller avidentifiera dem. Ni bör därför införa rutiner för gallring av personuppgifter, till exempel att ni genomför regelbundna kontroller eller raderar efter en viss tid.

Avskilj personuppgifter från den dagliga verksamheten

I vissa fall måste ni spara handlingar med personuppgifter även efter att ni slutat använda dem. Det gäller till exempel bokföring, där bokföringslagen ställer krav på hur länge vissa handlingar ska sparas. Lagra då handlingarna på ett sådant sätt att de inte längre är tillgängliga i den dagliga verksamheten (så kallad avskiljning). Det kan ni göra genom att separera handlingarna från till exempel ett ärendehanteringssystem eller genom att införa tekniska begränsningar av åtkomst och behörighet till samma system.

Personuppgifter kan få arkiveras

Det kan också vara tillåtet att lagra personuppgifter, efter att det ursprungliga ändamålet slutar att vara aktuellt, om det endast sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Ni måste dock alltid se till att vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna.

Integritet och konfidentialitet

När ni behandlar personuppgifter måste ni se till att uppgifterna skyddas på ett bra sätt genom att vidta lämpliga säkerhetsåtgärder.

Skydda personuppgifter med säkerhetsåtgärder

Ni måste skydda alla personuppgifter som ni behandlar, så att ingen obehörig kommer åt dem och så att de inte används på ett otillåtet sätt. Ni ska också se till så att personuppgifter inte förloras eller blir förstörda, till exempel genom olyckshändelser.

Ni måste därför införa lämpliga tekniska och organisatoriska säkerhetsåtgärder. Till tekniska åtgärder räknas till exempel brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Organisatoriska åtgärder handlar till exempel om interna rutiner, instruktioner och riktlinjer.

Ansvarsskyldighet

Ni ansvarar för att följa de grundläggande principerna om personuppgiftsbehandling. Ni måste också kunna visa att ni följer dem och på vilket sätt ni gör det.

Så visar ni att ni följer dataskyddsförordningen

Ni kan visa att ni följer de grundläggande principerna på flera sätt, till exempel genom att

  • lämna tydlig information till de registrerade
  • föra register över och dokumentera de personuppgiftsbehandlingar som pågår i er organisation, inklusive vilka överväganden ni har gjort
  • upprätta interna riktlinjer för dataskydd (en dataskyddspolicy) och utbilda personalen
  • bygga in integritetsvänliga lösningar i era system (så kallat inbyggt dataskydd)
  • göra en konsekvensbedömning innan ni påbörjar personuppgiftsbehandling som innebär särskilda integritetsrisker
  • utse ett dataskyddsombud
  • ansluta er till en godkänd uppförandekod eller certifieringsmekanism.

Rättsinformation
Artikel 5
Skäl 39, 50, 58, 60