Principer för behandling av personuppgifter

All behandling av personuppgifter ska ske i enlighet med de grundläggande principer som listas nedan. Detta gäller oavsett vem som behandlar uppgifterna och oavsett vilken rättslig grund som behandlingen grundas på. Principerna finns samlade i artikel 5 i GDPR.

Laglighet, korrekthet och öppenhet

Detta innebär dels att det måste finnas en rättslig grund för behandlingen av personuppgifter. Vilka rättsliga grunder som finns för behandling av personuppgifter anges i artikel 6. Denna princip innebär också att personuppgifter ska behandlas på ett korrekt (i bemärkelsen rättvist) och öppet sätt i relation till den registrerade. Det ska vara tydligt för den registrerade att hans eller hennes personuppgifter behandlas och information om behandlingen ska vara lättillgänglig och kommuniceras på ett klart och tydligt språk.

Ändamålsbegränsning

Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Därför måste den som avser behandla personuppgifter vara säker på vilka ändamål personuppgifterna ska användas till innan personuppgifterna samlas in. Ändamålen med behandlingen ska dokumenteras skriftligt och den registrerade ska också informeras om ändamålen när uppgifterna samlas in och annars när denne begär det.

Personuppgifter får senare behandlas för andra ändamål bara om dessa är förenliga med de ursprungliga ändamålen, och de registrerade måste i så fall också informeras om detta.Ytterligare behandling av insamlade personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål anses inte vara oförenligt med de ursprungliga ändamålen, förutsatt att det finns lämpliga skyddsåtgärder för de registrerades rättigheter.

Uppgiftsminimering

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Personuppgifter får inte samlas in för obestämda framtida behov eller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ändamål de samlades in för. Med andra ord: bara de uppgifter som behövs för ändamålet ska behandlas – inte fler.

Korrekthet

Personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att personuppgifterna som är felaktiga raderas eller rättas utan dröjsmål.

Lagringsminimering

Personuppgifter ska bara sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen. Det är därför viktigt att ha rutiner för gallring av personuppgifter, till exempel genom att genomföra regelbundna kontroller, radera eller avidentifiera personuppgifterna efter en viss tid.

Integritet och konfidentialitet

Personuppgifter ska behandlas på ett säkert sätt och skyddas så att inte obehöriga kommer åt dem eller så att de inte behandlas på ett otillåtet sätt, förloras, förstörs eller skadas. Det är viktigt att ha tekniska och organisatoriska åtgärder på plats för att trygga behandlingen av personuppgifterna. Tekniska åtgärder kan vara till exempel brandväggar, kryptering, pseudonymisering och anti-virusskydd. Organisatoriska åtgärder kan till exempel vara interna rutiner, instruktioner och riktlinjer.

Ansvarsskyldighet

Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att de övriga principerna för personuppgiftsbehandling följs. För att göra detta behöver tekniska och organisatoriska åtgärder vidtas. Denna princip är en grundläggande del av GDPR och avspeglar sig i många av förordningens bestämmelser.