Ändamålen för behandling av personuppgifter måste vara specifika
Ändamålen för behandling av personuppgifter måste vara specifika och inte för generella. Dessutom måste de vara angivna tydligt.
Det finns sju (7) dataskyddsprinciper som företag måste följa, även kallat för grundläggande dataskyddsprinciper. Dessa utgör ramarna för att en behandling ska vara tillåten. Dessutom utgör de kärnan av GDPR. Företag som behandlar personuppgifter bör känna till dem, eftersom det strider mot GDPR att inte följa principerna.
1) Laglighet, korrekthet och öppenhet innebär att företag måste ha stöd i GDPR vid behandling av personuppgifter. Såsom att stödja behandlingen på en rättslig grund. Dessutom behöver företaget informera de registrerade om behandlingen och vara transparenta.
2) Principen om ändamålsbegränsning innebär att ändamålet med behandlingen ska vara berättigat, angivet och specifikt. Det är inte tillåtet att ha för breda ändamål. Såsom ”marknadsföringssyfte” eller för att ”förbättra användarupplevelsen” eftersom det är inte är tillräckligt specifikt beskrivet.
3) Företag får enbart behandla så många personuppgifter som de behöver för att uppnå ändamålet med behandlingen, enligt principen om uppgiftsminimering.
4) Det är också företaget som ska se till att personuppgifterna är korrekta och riktiga enligt principen om riktighet.
5) När företaget inte längre behöver personuppgifterna, ska de bli raderade vilket även är kallat för att ”gallra” personuppgifter enligt principen om lagringsminimering.
6) Företag måste vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna enligt principen om integritet och konfidentialitet.
7) Enligt principen om ansvarsskyldighet är det företaget som ska kunna bevisa att de följer GDPR, inte registrerade eller tillsynsmyndigheter som behöver bevisa att företaget bryter mot GDPR.
Ändamålen för behandling av personuppgifter måste vara specifika och inte för generella. Dessutom måste de vara angivna tydligt.
Företag ska radera personuppgifter när de inte längre behövs för syftet de blev inhämtade för i enlighet med principen om lagringsminimering.
Vid behandling av personuppgifter ska företag ha en rättslig grund för att behandlingen ska vara laglig i enlighet med GDPR.
Principen om ansvarsskyldighet innebär bland annat att företag måste kunna visa att de följer GDPR, även kallat för dataskyddsförordningen.
Enligt principen om lagringsminimering ska personuppgifter inte bli lagrade längre än nödvändigt för att uppfylla ändamålet med behandlingen.