GDPR – Principer
Grundläggande Dataskyddsprinciper
Det finns sju dataskyddsprinciper som företag måste följa enligt GDPR och principerna sammanfattas nedan.

Laglighet, korrekthet och öppenhet
Laglighet, korrekthet och öppenhet är en dataskyddsprincip. Den som är personuppgiftsansvarig måste säkerställa att behandlingen av personuppgifterna sker på ett lagligt och korrekt sätt i enlighet med GDPR. Enligt denna princip får den ansvarige inte dölja något för de registrerade, avseende hur deras personuppgifter blir behandlade.
Behandlingen ska präglas av öppenhet och vara transparent gentemot de registrerade personerna. Detta är ett utan skälen till varför GDPR kräver att företag och andra personuppgiftsansvariga skriver en dataskyddspolicy. I en dataskyddspolicy, även kallat för intregritetspolicy ska det framgå information om behandlingen, varför det sker, lagringstid och mycket mer.
Fyra vanliga rättsliga grunder
- Samtycke
- Avtal med registrerad
- Intresseavvägning
- Rättslig förpliktelse
Ändamålsbegränsning
Principen om ändamålsbegränsning innebär att personuppgifter enbart får ske för specifika ändamål. Principen innebär också att den ansvarige måste ange ändamålet med varje enskild behandling av personuppgifter och den tid som behandlingen är nödvändig.
Denna princip innebär att det inte är tillåtet att samla in personuppgifter utan ett visst angivet ändamål md behandlingen. All behandling måste därför ha ett syfte.
Uppgiftsminimering
Denna princip innebär att den personuppgiftsansvarige enbart ska behandla de personuppgifter som är nödvändiga för det specifika valda ändamålet med behandlingen. Det innebär att det inte är tillåtet att behandla fler personuppgifter än som är nödvändigt för det specifika ändamålet.
Principen om uppgiftsminimering innebär att man ska minimera antalet personuppgifter som blir behandlade, till de absolut mest nödvändiga. Det är positivt, eftersom det är enklare att hantera färre personuppgifter samt att hålla dem aktuella och uppdaterade.
Riktighet
Den personuppgiftsansvarige ansvarar för att hanteringen av personuppgifterna sker med noggrannhet. Detta innebär att varje personuppgift som är felaktig ska korrigeras eller raderas. GDPR ställer krav på riktighet avseende samtliga personuppgifter och varje rimlig åtgärd måste vidtas för att rätta en felaktig uppgifter eller för att ta bort en personuppgift som inte är riktig eller korrekt.
Lagringsminimering
Principen om lagringsminimering innebär att personuppgifter ska gallras (raderas), när de inte längre är nödvändiga för det ändamålet de blev insamlade för. Den personuppgiftsansvarige ska exempelvis föra en loggbok och notera utförda gallringar i loggboken.
En sådan loggbok styrker att företaget följer GDPR. Exempelvis kan gallring ske från olika typer av lagringsplats, där personuppgifter förekommer. Bland annat interna register och system, datorer, mail, telefonbok, fysiska dokument osv.
Integritet och konfidentialitet
Denna princip innebär att den personuppgiftsansvarige måste säkerställa att behandlingen av personuppgifterna sker på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot olaglig eller obehörig behandling. Dessutom måste den ansvarige säkerställa skydd mot oavsiktlig förlust, skada eller förstörelse av personuppgifterna.
Det ska ske genom att den ansvarige implementerar olika tekniska och organisatoriska säkerhetsåtgärder. Exempelvis kan det ske genom att införa säkerhetsrutiner som personalen i verksamheten ska följa samt att dessa är skriftligen dokumenterade.
En organisatorisk säkerhetsåtgärd kan vara att genomföra byten av lösenord i samtliga interna system och register samt arbetsdatorer, telefoner m.m. En teknisk säkerhetsåtgärd kan vara olika typer av digital antivirusprogram, installerade backup-system m.fl.
Ansvarsskyldighet
Principen om ansvarsskyldighet innebär att den som behandlar personuppgifter är skyldig att uppfylla samtliga ovanstående dataskyddsprinciper enligt GDPR. I Sverige är det Integritetsskyddsmyndigheten den myndighet som utöver tillsyn och som genomför sådana kontroller. Detta måste uppfyllas i varje enskilt fall och vid all behandling av personuppgifter.
En viktig del av denna princip, handlar om att kunna bevisa och styrka att samtliga dataskyddsprinciper enligt GDPR blir följda. Det kan ske genom att skriva och dokumentera de interna rutinerna som fäller vid gallring, insamling, lagring osv.
Dessutom måste samtliga medarbetare följa sådana interna rutiner och känna till bestämmelserna i GDPR. En dataskyddspolicy är också viktig att ha eftersom den förklarar för de registrerade personerna hur deras personuppgifter blir behandlade samt vilka rättigheter de har
Säkerställ att företaget följer principerna
Det är viktigt att se till att företaget och de anställda följer ovanstående dataskyddsprinciper enligt GDPR. Detta gäller för all behandling av personuppgifter och det är viktigt att samtliga medarbetare har kunskap om dataskyddsprinciperna och GDPR. Ett tips är att upprätta rutiner som företaget kan använda för att kontrollera att medarbetarna och företaget följer principerna vid behandlingen av personuppgifterna. Exempelvis kan det underlätta genom att upprätta en checklista.
I checklistan bör information om följande framgå:
– Ändamålet med behandlingen.
– Vilken rättslig grund som behandlingen blir grundad på.
– Om den registrerade personen har blivit informerad om behandlingen eller inte.
– Om uppgifternas riktighet har blivit kontrollerad.
– Resultat av säkerhetsanalys avseende skyddet av personuppgifterna.
– Rutinen för radering av personuppgifterna.
– Vilka dokument och avtal som styrker och bevisar att företaget följer villkoren i GDPR.
Behöver ni hjälp med att upprätta GDPR-relaterade avtal och dokument?
Vi kan hjälpa er med att upprätta de avtal och dokument ert företag behöver enligt GDPR. Vi har skapat olika GDPR-paket som innehåller flera viktiga GDPR-relaterade avtal och dokument som företag kan behöva, beroende på situation.
Mer information
Registrerades rättigheter
Enligt GDPR har registrerade ett flertal rättigheter som företag behöver tillgodose när de behandlar personuppgifter. Till exempel rätten till information och rätten till tillgång. Därför är det bra att upprätta rutiner och instruktioner till anställda så att de ska veta hur de ska kunna tillgodose rättigheterna.
Vill du veta mer?
Lär dig mer
Gratis juridikskola
Vi driver juridikskolor som är gratis och riktade till företagare på LinkedIn och Instagram. På vår hemsida har vi också skapat flera juridiska quiz där du kan testa dina juridiska kunskaper inom GDPR.