Uppgiftsminimering är en av sju dataskyddsprinciper

Uppgiftsminimering är en av sju dataskyddsprinciper. Ett företag får inte behandla fler personuppgifter än nödvändigt i förhållande till ändamålet med behandlingen. Det framgår av artikel 5.1 c) i GDPR (dataskyddsförordningen)

Uppgiftsminimering är en av sju dataskyddsprinciper

Principen om uppgiftsminimering

Uppgiftsminimering som är en av sju dataskyddsprinciper enligt GPDR innebär att enbart nödvändiga personuppgifter för det specifika behandlingsändamålet ska bli insamlade. Dessutom måste behandlade personuppgifter vara kopplade till ändamålet.

Om ett företag exempelvis vill skicka nyhetsbrev till sina kunders e-postadresser och anger detta som ändamålet för behandlingen, får företaget inte samla in ytterligare personuppgifter för att till exempel kartlägga vilka intressen som kunderna har. Principen om uppgiftsminimering innebär kort sagt att enbart personuppgifter som är nödvändiga för att uppfylla ändamålet med behandlingen, får bli behandlade.

Insamling av personuppgifter för framtida behov

Det är förbjudet enligt GDPR att samla in personuppgifter för framtida behov som ännu inte är bestämda och angivna. Det är inte heller tillåtet att samla in personuppgifter bara för att det är bra att ha dem. 

Företag som arbetar med stora mängder data

Precis som principen om ändamålsbegränsning kan vara problematiska att följa för företag som arbetar med stora mängder data, kan även principen om uppgiftsminimering det vara det. I och med att de samlar in mycket data utan att riktigt veta ändamålet i förväg, är det stor risk att delar av datan inte kommer att vara relevant. Då har företaget samlat in för mycket personuppgifter i förhållande till syftet, vilket strider mot principen om uppgiftsminimering. 

Principen om riktighet 

Företaget ansvarar för att se till att personuppgifterna är riktiga. Företaget ska också hålla dem uppdaterade, om det är nödvändigt. Om ett företag inser att personuppgifterna som de behandlar inte är korrekta, ska de skyndsamt bli rättade eller raderade. Detsamma gäller om en registrerad informerar företaget om att dennes personuppgifter som företaget behandlar inte är korrekta. Ett företag behöver därför se till att ha rutiner för att kunna göra detta utan dröjsmål och på ett korrekt sätt.