Sex grundprinciper för GDPR

Välkomna till del 2 av vår bloggserie! Har du inte hunnit läsa del 1 än så kan du göra det här. I denna del kommer vi att gå lite djupare in på de sex grundprinciperna som man ofta pratar om när det gäller GDPR.

Vid behandling av personuppgifter finns det enligt GDPR sex grundläggande principer som ska uppfyllas. Det är den personuppgiftsansvarige, alltså organisationen, myndigheten eller verksamheten som ska se till att dessa grundprinciper uppfylls och efterlevs av alla anställda.

1. Laglydigt, rättvist och transparent

Första grundprincipen handlar helt och hållet om att hantera personuppgifter på ett rättvist och ärligt sätt. Det borde finnas information att tillgå för personerna vars uppgifter ni samlar in om vilken typ av data ni sparar, varför ni sparar och behandlar det samt hur du planerar att använda de uppgifterna ni samlar in. Detta är ofta inkluderat i er integritetspolicy. Dock är vi ju alla väl medvetna om att väldigt få personer faktiskt läser avtalsvillkoren eller integritetspolicyn när man skriver på ett avtal för en tjänst eller produkt. Texterna är oftast långa och svåra att förstå, och det är här GDPR gör en skillnad genom att ställa krav på att informationen om personuppgiftsbehandling ska vara tydlig och lättläst så att man faktiskt förstår vad det är man skriver på. Så inget mer jurist-snack!

2. Ändamålsbegränsning

Ändamåls- eller missbruksbegränsning handlar om att personuppgifter kan och ska endast samlas in för uttalade och legitima syften. Användningsområdet kan därför inte utökas bortom det som personen har gett medgivande för. Har någon t.ex. registrerat sig för att ta del av ert nyhetsbrev får ni inte börja skicka information om nya tjänster eller produkter till dem om det inte ingår i det medgivande dem har gett.

3. Uppgifts/data-minimering

Denna grundprincip hänger ihop med föregående i att man endast får samla in de personuppgifter som är relevant för ändamålet. Sparade personuppgifter skall vara tillräckliga, relevanta och begränsade till vad som anses nödvändigt i sammanhanget. Det finns till exempel ingen anledning att samla in nyanställdes klädstorlek om ni inte tillhandahåller arbetskläder. Här gäller det att ta en titt på den data ni samlar in och bestämma om ni samlar på er information som egentligen inte behövs, finns det kanske något som skulle kunna tas bort utan att det skadar er verksamhet?

4. Korrekthet

Här behövs egentligen ingen större förklaring. Personuppgifter skall vara korrekta, om de inte är det så måste de uppdateras. Om det inte är möjligt att uppdatera uppgifterna bör de raderas eller anonymiseras. Individer har dessutom rätt att begära korrigeringar och dessa förfrågningar måste ageras på omedelbart.

5. Lagringsbegränsning

Personuppgifter får inte sparas längre tid än nödvändigt för det syfte som individen gett sitt samtycke till. Det känns ju egentligen rätt logiskt att radera information och uppgifter som man inte längre behöver, eller hur? Vi är dock experter på att spara saker, ”det kan ju vara bra att ha senare”… GDPR ställer dock krav på att ni har lagringspolicys som tydliggör vilken typ av data som kommer raderas och efter hur lång tid.

6. Integritet och sekretess

Sist men inte minst handlar den sista grundprincipen om säkerheten för de uppgifter ni har sparade hos er. Det handlar inte bara om att se till att uppgifterna inte hamnar i orätta händer, det handlar också om att kunna rapportera förlorade data. Personuppgifter måste behandlas på ett sätt som försäkrar en passande säkerhetsnivå för ändamålet, inklusive skydd mot obehörig eller olaglig behandling och/eller förlust av data. Se över era system regelbundet och uppdatera när det behövs så har ni koll på er datasäkerhet!

Dessa sex grundprinciper utgör ryggraden för GDPR och det är kritiskt att ni som företag förstår och följer dem till den 25 maj 2018. Nästa del i denna serie kommer att handla om samtycke. Vad menas med samtycke inom ramarna för GDPR och hur säkerställer ni att ni har samtycke från de ni samlar in personuppgifter från?

Hör gärna av dig om du vill diskutera detta vidare eller har några frågor kring hur ni som företag ska implementera dessa principer hos er! Jag nås på 070  211 96 56 eller denize.handestam@consultatum.se