Grundläggande DATASKYDDSPRINCIPER
Det finns sju dataskyddsprinciper som företag måste följa enligt GDPR och principerna sammanfattas nedan.
De sju dataskyddsprinciperna
Laglighet, korrekthet och öppenhet
Laglighet, korrekthet och öppenhet är en dataskyddsprincipDen som är personuppgiftsansvarig måste säkerställa att behandlingen av personuppgifterna sker på ett lagligt och korrekt sätt i enlighet med GDPR. Enligt denna princip får den ansvarige inte dölja något för de registrerade, avseende hur deras personuppgifter blir behandlade.
Behandlingen ska präglas av öppenhet och vara transparent gentemot de registrerade personerna. Detta är ett utan skälen till varför GDPR kräver att företag och andra personuppgiftsansvariga skriver en dataskyddspolicy. I en dataskyddspolicy, även kallat för intregritetspolicy ska det framgå information om behandlingen, varför det sker, lagringstid och mycket mer.
Ändamålsbegränsning
Principen om ändamålsbegränsning innebär att personuppgifter enbart får ske för specifika ändamål. Principen innebär också att den ansvarige måste ange ändamålet med varje enskild behandling av personuppgifter och den tid som behandlingen är nödvändig.
Denna princip innebär att det inte är tillåtet att samla in personuppgifter utan ett visst angivet ändamål md behandlingen. All behandling måste därför ha ett syfte.
Uppgiftsminimering
Denna princip innebär att den personuppgiftsansvarige enbart ska behandla de personuppgifter som är nödvändiga för det specifika valda ändamålet med behandlingen. Det innebär att det inte är tillåtet att behandla fler personuppgifter än som är nödvändigt för det specifika ändamålet.
Principen om uppgiftsminimering innebär att man ska minimera antalet personuppgifter som blir behandlade, till de absolut mest nödvändiga. Det är positivt, eftersom det är enklare att hantera färre personuppgifter samt att hålla dem aktuella och uppdaterade.
Riktighet
Den personuppgiftsansvarige ansvarar för att hanteringen av personuppgifterna sker med noggrannhet. Detta innebär att varje personuppgift som är felaktig ska korrigeras eller raderas. GDPR ställer krav på riktighet avseende samtliga personuppgifter och varje rimlig åtgärd måste vidtas för att rätta en felaktig uppgifter eller för att ta bort en personuppgift som inte är riktig eller korrekt.
Lagringsminimering
Principen om lagringsminimering innebär att personuppgifter ska gallras (raderas), när de inte längre är nödvändiga för det ändamålet de blev insamlade för. Den personuppgiftsansvarige ska exempelvis föra en loggbok och notera utförda gallringar i loggboken.
En sådan loggbok styrker att företaget följer GDPR. Exempelvis kan gallring ske från olika typer av lagringsplats, där personuppgifter förekommer. Bland annat interna register och system, datorer, mail, telefonbok, fysiska dokument osv.
Integritet och konfidentialitet
Denna princip innebär att den personuppgiftsansvarige måste säkerställa att behandlingen av personuppgifterna sker på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot olaglig eller obehörig behandling. Dessutom måste den ansvarige säkerställa skydd mot oavsiktlig förlust, skada eller förstörelse av personuppgifterna.
Det ska ske genom att den ansvarige implementerar olika tekniska och organisatoriska säkerhetsåtgärder. Exempelvis kan det ske genom att införa säkerhetsrutiner som personalen i verksamheten ska följa samt att dessa är skriftligen dokumenterade.
En organisatorisk säkerhetsåtgärd kan vara att genomföra byten av lösenord i samtliga interna system och register samt arbetsdatorer, telefoner m.m. En teknisk säkerhetsåtgärd kan vara olika typer av digital antivirusprogram, installerade backup-system m.fl.
Ansvarsskyldighet
Principen om ansvarsskyldighet innebär att den som behandlar personuppgifter är skyldig att uppfylla samtliga ovanstående dataskyddsprinciper enligt GDPR. I Sverige är det Integritetsskyddsmyndigheten den myndighet som utöver tillsyn och som genomför sådana kontroller. Detta måste uppfyllas i varje enskilt fall och vid all behandling av personuppgifter.
En viktig del av denna princip, handlar om att kunna bevisa och styrka att samtliga dataskyddsprinciper enligt GDPR blir följda. Det kan ske genom att skriva och dokumentera de interna rutinerna som fäller vid gallring, insamling, lagring osv.
Dessutom måste samtliga medarbetare följa sådana interna rutiner och känna till bestämmelserna i GDPR. En dataskyddspolicy är också viktig att ha eftersom den förklarar för de registrerade personerna hur deras personuppgifter blir behandlade samt vilka rättigheter de har
Säkerställ att företaget följer principerna
Det är viktigt att se till att företaget och de anställda följer ovanstående dataskyddsprinciper enligt GDPR. Detta gäller för all behandling av personuppgifter och det är viktigt att samtliga medarbetare har kunskap om dataskyddsprinciperna och GDPR. Ett tips är att upprätta rutiner som företaget kan använda för att kontrollera att medarbetarna och företaget följer principerna vid behandlingen av personuppgifterna. Exempelvis kan det underlätta genom att upprätta en checklista.
I checklistan bör information om följande framgå:
– Ändamålet med behandlingen.
– Vilken rättslig grund som behandlingen blir grundad på.
– Om den registrerade personen har blivit informerad om behandlingen eller inte.
– Om uppgifternas riktighet har blivit kontrollerad.
– Resultat av säkerhetsanalys avseende skyddet av personuppgifterna.
– Rutinen för radering av personuppgifterna.
– Vilka dokument och avtal som styrker och bevisar att företaget följer villkoren i GDPR.