Artikel 5(1)(C) i GDPR
Dataskyddsprincipen om uppgiftsminimering
Dataskyddsprincipen om uppgiftsminimering innebär kort sagt att företag inte får behandla fler personuppgifter än nödvändigt för syftet med behandlingen. Dessutom ska företag radera eller anonymisera personuppgifterna när de inte längre är nödvändiga för syftet de blev insamlade för.
Dataskyddsprincipen om uppgiftsminimering enligt GDPR
Denna princip om uppgiftsminimering utför en av de sju grundläggande dataskyddsprinciperna som företag måste följa enligt GDPR. Det är den personuppgiftsansvarige som ansvarar för att säkerställa att dataskyddsprinciperna följs inom verksamhetens behandling av personuppgifter.
Minska risken med behandlingen
Företag kan minska risken som har anknytning till behandling av personuppgifter, genom att till exempel anonymisera personuppgifter. Detsamma gäller genom att pseudonymisera personuppgifter. Företaget kan även vidta andra typer av tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna företaget behandlar.
Vad innebär principen om uppgiftsminimering?
Enligt dataskyddsprincipen om uppgiftsminimering ska de personuppgifter som företag behandlar vara:
Adekvata
De personuppgifter som blir insamlade av företaget ska vara korrekta, adekvata och relevanta för det specifika angivna ändamålet med behandlingen. Det är därmed inte tillåtet att behandla flera personuppgifter “bara för att de kan vara bra att ha i framtiden”.
Samband
Det måste finnas ett samband mellan de personuppgifter företaget behandlar och användningsändamålet. Detta innebär att de behandlade personuppgifterna ska vara väsentliga och ha en tydlig koppling till syftet med behandlingen.
Nödvändiga
Företag ska bara behandla de personuppgifter som är avgränsade och nödvändiga för användningsändamålet. Detta innebär att personuppgifterna i fråga faktiskt ska behövas för att uppfylla syftet med behandlingen. När ett företag ska bedöma huruvida det är nödvändigt att behandla vissa personuppgifter, ska företaget utgå från alla registrerade. Dessutom ska företaget också i vissa fall utgå från enskilda registrerade. Ett praktiskt exempel är om ett företag i samband med servering av livsmedel, behöver information om registrerades eventuella livsmedelsallergi.
Hur länge företag ska behandla personuppgifter
Företag ska inte behandla personuppgifter längre än nödvändigt för det syfte som de hade när de blev insamlade. Företag ska sträva efter att behandla personuppgifter så kort tid som möjligt. Det är inte tillåtet att lagra personuppgifter längre “för säkerhets skull” efter att syftet med behandlingen är uppnått och de egentligen inte behövs längre.
I vissa fall vill företag behandla samma personuppgifter men för ett annat syfte. Vid sådana fall ska de ha en ny rättslig grund för behandlingen. Däremot kan företaget göra en bedömning huruvida en behandling av samma personuppgifter för ett annat användningsändamål är kompatibelt med det användningsändamål som är ursprungligt och därmed tillåtet.
Fler grundläggande dataskyddsprinciper
Principen om riktighet enligt GDPR
Alla personuppgifter som företag behandlar ska vara korrekta. Dessutom ska företag försöka uppdatera dem på eget initiativ. Om personuppgifter inte stämmer och är inkorrekta, ska de antingen bli rättade eller raderade. Observera att en rättelse även kan innebära en komplettering, om något skulle saknas i personuppgiften. Observera att rättelse ska ske utan dröjsmål efter att företaget fått kännedom om att personuppgifter inte är korrekta. En registrerad har rätt att kontakta företaget om de anser att personuppgifterna inte stämmer och begära rättelse. Det är viktigt att tänka på att felaktiga personuppgifter kan ha förödande konsekvenser. Ett exempel är om en sjukhus behandlar fel personuppgifter, vilket kan leda till vårdåtgärder som är felaktiga och i värsta fall farliga för berörda registrerade.