GDPR – Grundläggande information
Principer
Alla företag som behandlar personuppgifter tillhörande EU medborgare, måste följa de sju (7) grundläggande dataskyddsprinciperna enligt GDPR.
Viktiga regler i GDPR
De sju (7) grundläggande dataskyddsprinciperna enligt GDPR
Principerna utgör kärnan av GDPR och reglerar de yttre ramarna för vad som är tillåtet och företag behöver göra. Oavsett om ett företag är personupgiftsansvarig eller personuppgiftsbiträde, måste företaget följa principerna.
Nedan kan du läsa en sammanställning av dessa.
Innehåll
Laglighet, korrekthet och öppenhet (Artikel 5.1.a GDPR)
Den första principen består av tre delar, laglighet, korrekthet och öppenhet. Det innebär att företaget måste ha en rättslig grund för att behandlingen ska vara laglig. Dessutom är det förbjudet att behandla personuppgifter om det strider mot någon annan lag.
Företaget får inte heller behandla personuppgifter om det är oproportionerligt i förhållande till de registrerade personerna vars personuppgifter företaget behandlar.
Företaget ska också vara öppna med behandlingen genom att informera de registrerade om behandlingen. Det brukar ske genom att företaget upprättar en integritetspolicy, även kallad för sekretesspolicy och dataskyddspolicy.
Ändamålsbegränsning (Artikel 5.1.b GDPR)
När ett företag behandlar personuppgifter, måste företaget ha ett ändamål med behandlingen. Med andra ord ett syfte. Det är inte tillåtet att behandla personuppgifter utan något specifikt syfte. Exempel på vanliga ändamål för behandling av personuppgifter är marknadsföringsändamål eller för att fullgöra ett ingått avtal. Observera att ändamålet ska vara särskilt och uttryckt.
Exempelvis behöver ett företag som bedriver en webbshop behandla namn, e-postadress och och leveransadress tillhörande sina kunder, för att kunna fullgöra leveranserna i enlighet med avtalet. Ändamålet med behandlingen är således att fullgöra avtalet.
Uppgiftsminimering (Artikel 5.1.c GDPR)
Företaget får inte behandla fler personuppgifter än nödvändigt för ändamålet. Detta innebär att företag inte får samla in och behandla personuppgifter utan något syfte, bara för att de kan vara bra att ha i framtiden. Därför är det viktigt att företag enbart behandlar personuppgifter som faktiskt är nödvändiga för ändamålen de blev insamlade för. Antalet behandlade personuppgifter ska därmed i största möjligaste mån minimeras.
Riktighet (Artikel 5.1.d GDPR)
Företag ska behandla personuppgifter som är korrekta. Om företaget märker att någon personuppgift inte är korrekt, måste sådana uppgifter bli rättade alternativt raderade. Detsamma gäller om någon registrerad kontaktar företaget och meddelar att personuppgifter är inkorrekta. För att kunna tillgodose registrerade denna rättighet, bör företaget ha interna rutiner för att kunna göra det.
Lagringsminimering (Artikel 5.1.e GDPR)
När företaget inte längre behöver behandla personuppgifterna för ändamålet som de blev inhämtade för, ska företaget radera dem. Detta brukar även vara kallat för ”gallring av personuppgifter”. Gallring av icke-nödvändiga personuppgifter ska ske regelbundet. Företaget bör ha interna rutiner för hur och när detta ska ske, för att säkerställa att personuppgifter blir raderade när de inte längre behöver bli behandlade.
Observera att företag i vissa fall måste behandla personuppgifter eftersom det står reglerat i någon annan lag. Exempelvis enligt bokföringslagen. Vid sådana fall ska radering inte ske, om det kan innebära att företaget bryter mot någon rättslig förpliktelse.
Integritet och konfidentialitet (Artikel 5.1.f GDPR)
Företag ska skydda personuppgifter som de behandlar. Därför ska företaget vidta olika lämpliga tekniska och organisatoriska säkerhetsåtgärder. Exempelvis att implementera flerstegsverifiering vid inloggning till system som innehåller personuppgifter, inneha lämpliga GDPR avtal/dokument och anti-virusprogram.
På webbplatsen www.AvtalGDPR.se, som är en del av Digitala Juristerna, kan du läsa mer om vilka tekniska och organisatoriska säkerhetsåtgärder företaget kan vidta.
Anvarsskyldighet (Artikel 5.2 GDPR)
Denna princip innebär att alla företag som behandlar personuppgifter måste kunna visa att de följer GDPR och hur de gör detta. Bland annat genom att implementera interna rutiner och upprätta nödvändiga avtal och dokument. Till exempel ett skriftligt personuppgiftsbiträdesavtal om företaget är personuppgiftsansvarig och anlitar ett personuppgiftsbiträde.
Det är varken den nationella dataskyddsmyndigheter (I Sverige är det IMY) eller de registrerade som behöver visa att ett företag bryter mot GDPR. Istället är det företaget som måste kunna visa att de följer GDPR.
För att sammanfatta, ger de sju (7) grundläggande dataskyddsprinciperna enligt GDPR en robust ramverk för dataskydd, vilket varje organisation bör vara medveten om
Lär dig mer
www.AvtalGDPR.se
För de som vill granska de sju (7) grundläggande dataskyddsprinciperna enligt GDPR i detalj, rekommenderar vi att besöka vår hemsida www.AvtalGDPR.se. Där har vi samlat information om GDPR inklusive de sju (7) grundläggande dataskyddsprinciperna enligt GDPR såsom ansvarsskyldighet.
Mer information
Personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som innebär att någon obehörig har fått tillgång till personuppgifter, personuppgifter blir ändrade eller förlorade. Det är viktigt att arbeta förebyggande för att försöka förhindra personuppgiftsincidenter. Dessutom är det viktigt att veta hur man ska gå tillväga om det väl inträffar.
Vill du veta mer?
Vill ni ha vår hjälp?
Beställ uppdrag
Välkommen att kontakta oss via telefon, eller skicka ett meddelande via formuläret eller till vår mail så hör vi av oss så snart vi kan.
E-post
kontakt@digitalajuristerna.se
Telefon
08-81 66 33