Artikel 5 i GDPR

De sju grundläggande dataskyddsprinciperna

Företag som behandlar personuppgifter måste följa de sju grundläggande dataskyddsprinciperna i den europeiska allmänna dataskyddsförordingen, även kallad för GDPR. GDPR är en EU-förordning som började gälla 2018 i EU och EES-länderna. 

De sju grundläggande dataskyddsprinciperna utgör kärnan i GDPR

De grundläggande dataskyddsprinciperna utgör kärnan i GDPR och sätter ramarna för behandlingar av personuppgifter. Principerna framgår i artikel 5 GDPR. Företag behöver därför känna till dem alla, för att kunna veta vad de behöver göra för att följa regelverket. Observera att företaget inte enbart ska följa principerna vid insamlingen av personuppgifterna. Företaget måste följa principerna under hela behandlingens livscykel.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Consequences for companies that violate GDPR

GDPR är ett omfattande regelverk som innefattar mycket för företag att tänka på. Konsekvenserna för företag som bryter mot GDPR kan vara förödande. I värsta fall kan ett företag få sanktionsavgifter upp till 20 miljoner euro eller 4 % av den globala årsomsättningen (det högsta alternativet). 

Principen om laglighet, korrekthet och öppenhet

Denna princip består av tre del-principer. För det första är det inte tillåtet att behandla personuppgifter utan en rättslig grund, även kallad för laglig grund. Exempel på rättsliga grunder enligt GDPR är samtycke, avtal med registrerade och rättslig förpliktelse. De rättsliga grunderna är reglerade i artikel 6 GDPR.

För det andra, måste behandlingen vara rättvis, skälig, rimlig och proportionerlig i förhållande till den registrerade. 

För det tredje måste behandlingen vara transparent och de registrerade ska känna till behandlingen. Dataskyddsprincipen om laglighet, korrekthet och öppenhet regleras i Artikel 5(1)(a) i GDPR.

Principen om ändamålsbegränsning

Företag måste ha ett ändamål med behandlingen. Med andra ord förbestämt och specifikt syfte. Dessutom måste det vara angivet och förmedlat på ett tydligt sätt till de registrerade. Det är inte tillåtet att behandla personuppgifter för ett eventuellt framtida syfte som inte är angivet.Tänk på att det inte är tillräckligt att ange ett för brett syfte, exempelvis att ändamålet med behandligen är att ”förbättra användarnas upplevelse”, ”it-säkerhet” eller ”framtida forskning”. Dessa är inte tillåtna, eftersom de registrerade inte kan bedöma vad behandlingen skulle kunna innebära eftersom det är för vagt beskrivet. Dataskyddsprincipen om ändamålsbegränsning regleras i Artikel 5(1)(b) i GDPR.

 

Principen om uppgiftsminimering

Företag får inte behandla fler personuppgifter än nödvändigt för ändamålet. Denna princip innebär kort sagt att företaget inte ska behandla onödiga personuppgifter som inte behövs för att uppnå syftet med behandlingen. Det är bara tillåtet att behandla relevanta och adekvata personuppgifter för att uppnå ändamålet med behandlingen. 

Om företaget vill behandla fler personuppgifter för något annat syfte, behöver de en ny rättslig grund för den behandlingen. Denna princip innebär kort sagt att ett företag inte får behandla onödiga personuppgifter “bara för att de kan vara bra att ha i framtiden” för något syfte som inte är bestämt ännu. Dataskyddsprincipen om uppgiftsminimering regleras i Artikel 5(1)(c) i GDPR.

 

Principen om riktighet

Företag att se till att personuppgifterna är riktiga, korrekta och om nödvädnigt uppdaterade. Personuppgifter som är inkorrekta ska antingen bli rättade eller raderade, vilket ska ske utan onödigt dröjsmål. Därför är det viktigt att företaget upprättar interna rutiner för att kontrollera och rätta personuppgifter, samt hantera registrerades begäran om rättelse av deras personuppgifter enligt Artikel 16 GDPR. Dataskyddsprincipen om riktighet regleras i Artikel 5(1)(d) i GDPR.

 

Principen om lagringsminimering

Personuppgifter får bli behandlade så länge de är nödvändiga för syftet de blev inhämtade för. När personuppgifter inte längre är nödvändiga fatt behandla, ska företaget radera eller anonymisera dem. Däremot kan företaget behöva spara personuppgifterna ändå, på grund av krav i någon annan lagstiftning. Vid sådana fall ska företaget fortsätta spara personuppgifterna, för att inte bryta mot lagen. Till exempel behöver företag spara kvitton i ett visst antal år enligt tillämplig bokföringslag. 

För att uppfylla denna princip om lagringsminimering enligt GDPR, behöver företag upprätta och implementera interna rutiner för radering och/eller anonymisering av personuppgifter. Företag behöver även ta fram interna rutiner som medarbetare ska följa, när en registrerad begär radering av sina personuppgifter i enlighet med artikel 17 i GDPR. Dataskyddsprincipen om lagringsminimering regleras i Artikel 5(1)(e) i GDPR.

 

Principen om integritet och konfidentialitet

Företag måste vidta tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som de behandlar. Ju känsligare personuppgifterna är, desto mer säkerhet krävs. Ingen obehörig får komma åt dem och de ska även bli skyddade mot otillåten användning. 

Om personuppgifterna obehörigen röjs eller används, utför det en personuppgiftsincident enligt GDPR. Företag måste ha interna rutiner för att säkerställa att personuppgiftsincidenter blir hanterade korrekt enligt reglerna i GDPR. Vissa personuppgiftsincidenter ska dessutom bli anmälda till tillsynsmyndigheten inom 72 timmar. 

Special categories of personal data in Article 9 of the GDPR are also referred to as “Sensitive personal data”

Exempel på tekniska säkerhetsåtgärder

Exempel på tekniska säkerhetsåtgärder är anti-virusprogram, backup-filer och kryptering av personuppgifter.Exempel på organisatoriska åtgärder är interna utbildningar, upprättande av interna rutiner och/eller personuppgiftsbiträdesavtal. Dataskyddsprincipen om integritet och konfidentialitet regleras i Artikel 5(1)(f) i GDPR.

Principen om ansvarsskyldighet

Företag måste kunna bevisa både att de följer reglerna GDPR samt hur det faktiskt sker i praktiken. Till exempel genom att ha skriftliga interna rutiner för hantering av personuppgiftsincidenter och hantering av registrerades begäran om sina rättigheter. Det är även bra att upprätta skriftliga cheklistor som personalen ska följa samt sammanfattningar om de rättsliga grunderna och dataskyddsprinciperna, för att utbilda personalen om hur personuppgifter ska bli behandlade korrekt. Företag behöver även ingå personuppgiftsbiträdesavtal med personuppgiftsbiträden enligt artikel 28 i GDPR och föra en registerförteckning enligt artikel 30 i GDPR. 

Det är även viktigt att företag dokumenterar alla beslut och motiveringarna i samt utföra olika typer av konsekvensbedömningar vid behov, exempelvis konsekvensbedömning vid dataöverföring till tredje land. Dataskyddsprincipen om ansvarsskyldighet regleras i Artikel 5(2) i GDPR.

 

Mer info om GDPR

The eight fundamental rights of data subjects

There are eight (8) fundamental rights of data subjects under the GDPR which a company should know about. It is also good to know about these rights as an individual in the capacity of a data subject. In order for a company to follow the GDPR, it is important to have knowledge about these rights. And thus not only about the seven data protection principles and the six legal bases for lawful processing of personal data under the GDPR.

Vill du lära dig mer?

Klicka här
Rulla till toppen