Dataskyddsprinciperna enligt GDPR

Dataskyddsprinciperna enligt GDPR är något alla företag, organisationer och offentliga organ måste följa, vid all personuppgiftsbehandling. Det finns sex stycken dataskyddsprinciper, som vi kommer att beskriva i detta inlägg. Datainspektionen är tillsynsmyndigheten i Sverige och kan komma att efterfråga bevisning om att principerna efterföljs vid en kontroll.

Personuppgiftsansvarig och Personuppgiftsbiträde

Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde.

Personuppgiftsansvarig är den som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till. Detta är ofta företaget, organisationen eller myndigheten som sådant.

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Detta är ofta en leverantör till företaget, organisationen eller myndigheten.

Personuppgiftsansvariga ska se till att dataskyddsprinciperna enligt GDPR blir följda

Den personuppgiftsansvarige måste se till att dataskyddsprinciperna enligt GDPR blir följda vid all insamling, förvaring eller behandling av personuppgifter som kan hänföras till enskilda fysiska personer.

GDPR, som är en förkortning av EG:s General Data Protection Regulation, gäller i hela EU. Bötesbeloppen för de som bryter mot GDPR är höga och det är därför viktigt att följa GDPR. Straffet vid brott mot GDPR varierar även beroende på företagets eller organisationens storlek.

Det är också viktigt att ha rutiner för vad som ska ske om det uppstår ett dataintrång, eftersom det är viktigt att åtgärda problemet så fort som möjligt. Den vanligaste personuppgiftsincidenten är felskickade mejl och GDPR kräver olika säkerhetsrutiner som ska finnas dokumenterade. Företag och organisationer måste ha olika GDPR avtal och dokument för att uppfylla GDPR. Exempelvis dataskyddspolicy, personuppgiftsbiträdesavtal, förteckning över personuppgiftsbehandling och olika interna rutiner.

Vi skriver alla GDPR avtal till fasta priser

Vi skriver och granskar GDPR-avtalen till fastpris. Samtal och genomgång med jurist ingår alltid i priset. Kontakta oss på 08-81 66 33 eller kontakt@digitalajuristernal.se, så hjälper vi dig.

Dataskyddsprinciperna enligt GDPR

Här är en lista av de sex stycken dataskyddsprinciperna.

Noggrannhet

Principen om noggrannhet innebär att all hantering av personuppgifter ska ske med noggrannhet och varje personuppgift som inte är korrekt eller komplett, måste justeras alternativt raderas. Enligt GDPR måste varje rimlig åtgärd vidtas för att ta bort eller korrigera en felaktig personuppgift.

Lagligt, rättvist och transparent

Företag och organisationer måste säkerställa att de inte bryter mot lagen vid insamling av personuppgifter, enligt denna princip. De får heller inte dölja något för de registrerade personerna vars personuppgifter blir behandlade. Därför kräver GDPR att företag skriver en dataskyddspolicy, och däri beskriver vilka typer av personuppgifter de samlar in och varför. För att följa lagen behöver företag också ha en grundlig förståelse av GDPR.

Ändamålsbegränsning

Denna princip innebär att insamlingen av personuppgifter enbart får ske för specifika ändamål och den personuppgiftsansvarige måste ange vad ändamålet med insamlingen är. Personuppgifterna får därutöver enbart bli insamlade under tiden det är nödvändigt för ändamålet. Det är alltså inte tillåtet att samla in olika personuppgifter ”bara för att”, utan ändamål eller syfte.

Uppgiftsminimering

Denna princip innebär att bara nödvändiga personuppgifter för det specifika behandlingsändamålet ska bli behandlade. Personuppgiftsansvariga får alltså inte behandla mer information än vad de behöver, för det specifika behandlingsändamålet. En fördel med detta är att det är enklare att hålla färre personuppgifter korrekta och aktuella.

Integritet och konfidentialitet

Principen innebär att varje personuppgiftsansvarig måste säkerställa att alla personuppgifter blir behandlade på ett sätt som säkerställer lämplig säkerhet, inklusive skydd mot obehörig och olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada, med hjälp av att den personuppgiftsansvarige har implementerat tekniska och organisatoriska åtgärder. Det kan exempelvis ske genom att införa olika typer av säkerhetsrutiner, som finns dokumenterade. Ett exempel för att uppfylla denna princip är att införa rutiner för lösenordsbyten varje kvartal eller att installera backup-system, antivirus och att i övrigt skydda personuppgifter genom olika tekniska och organisatoriska åtgärder.

Begränsning av förvaring

Enligt GDPR ska icke längre nödvändiga personuppgifter bli raderade, om de inte länge är nödvändiga för det ändamål som de blev insamlade för. Principen innebär att det ska finnas en loggbok med anteckningar av sådan gallring av personuppgifter (radering), för att kunna bevisa att GDPR följs. Gallring ska ske från samtliga lagringsplatser, exempelvis alla mailadresser, datorer, arbetstelefoner, fysiska dokument, interna system osv.

Skriftliga dokument och rutiner enligt GDPR

Alla personuppgiftsansvariga måste uppfylla samtliga ovanstående dataskyddsprinciperna enligt GDPR vid all behandling av personuppgifter, i varje enskilt fall. De måste också kunna bevisa att organisationen efterlever detta. Det sker genom att skriva och dokumentera de olika rutinerna och se till att alla medarbetare följer dessa GDPR rutiner och policys. Datainspektionen kontrollerar företagens efterlevnad av GDPR.

Vi kan hjälpa er skriva dessa dokument och samtliga GDPR avtal. Vi kan också granska era befintliga dokument och komplettera dem vid behov. Kontakta oss, om du har frågor eller funderingar.

Stäng meny
Call Now Button