Grundläggande principer för behandling av personuppgifter
Principerna beskriver grundläggande krav för att en personuppgiftsbehandling ska vara förenlig med dataskyddsförordningen.
Principerna gäller för all personuppgiftsbehandling [1] och sätter de yttersta ramarna för vad som är en tillåten behandling.
Principerna innebär bland annat att du som personuppgiftsansvarig
- måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs (kom ihåg att myndigheter och andra verksamheter som lyder under offentlighetsprincipen behöver ha stöd i arkivförfattning för att kunna gallra uppgifter och handlingar. Möjligheterna till en radering av personuppgifter måste bedömas med detta för ögonen).
- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
- ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.
De grundläggande principerna behöver alltid följas för att en behandling ska vara förenlig med dataskyddsregelverket.
Principen om laglighet, korrekthet och öppenhet
Principen innebär att uppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade [2].
- Att personuppgiftsbehandlingen ska vara laglig innebär att det måste finnas en rättslig grund för personuppgiftsbehandlingen. Var noga med att slå fast er rättsliga grund innan ni börjar behandla personuppgifter och att den rättsliga grunden har ett klart samband med ändamålet för behandlingen, se avsnittet om rättslig grund för behandlingen.
- Kravet på korrekthet innebär att personuppgiftsbehandlingen i förhållande till den nytta som den innebär ska vara rättvis, skälig, rimlig och proportionerlig. I förhållande till de registrerade innebär det att personuppgiftsbehandlingen bland annat ska vara begriplig och att de registrerade måste kunna kommunicera med den personuppgiftsansvarige och utöva sina rättigheter i samband med de personuppgifter som denne behandlar [3].
- För att uppnå principen om öppenhet ska det vara klart och tydligt för de registrerade hur deras personuppgifter behandlas. Det innebär att de ska få kunskap om vilka personuppgifter som samlas in, varför de samlas in och hur de sedan används. De registrerade ska också veta vad de har för rättigheter, till exempel hur de kan få felaktiga uppgifter rättade och hur de kan få personuppgifter raderade. Informationen ska vara lättillgänglig, kortfattad och begriplig; De registrerade bör kunna förstå vad de kan förvänta sig av personuppgiftsbehandlingen, i synnerhet om de registrerade är barn eller tillhör andra utsatta grupper.
Det är viktigt att fundera över vilket stöd ni har för att behandla personuppgifter och hur de registrerade kan informeras på bästa sätt, se avsnittet om de registrerades rättigheter.
Om innovationen innebär automatiserad behandling behöver ni regelbundet bedöma att algoritmerna fungerar som ni avser. Om ni upptäcker till exempel systematiska fel (biaser) behöver ni justera algoritmerna för att säkerställa en laglig, korrekt och öppen behandling. Se också till att informera de registrerade om hur behandlingen som grundas på algoritmer går till.
Principen om ändamålsbegränsning
Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål [4]. Ändamålen ska vara identifierade innan personuppgiftsbehandlingen påbörjats och ändamålen sätter ramarna för vad ni får och inte får göra, till exempel vilka uppgifter ni får behandla och hur länge ni får spara dem.
Ändamålen måste vara specifika och konkreta. Ändamålen måste också vara berättigade. Detta innebär att personuppgiftsbehandlingen dels ska ha en rättslig grund i dataskyddsförordningen, dels ska ske i enlighet med övrig tillämplig lagstiftning och allmänna rättsprinciper.
Om ni vill behandla insamlade personuppgifter på ett nytt sätt, måste det vara förenligt med de ursprungliga ändamålen.
Stödfrågor för att bedöma om en ny personuppgiftsbehandling är förenlig med tidigare ändamål
När ni bedömer om en ny personuppgiftsbehandling är förenlig med tidigare ändamål ska ni bland annat ta hänsyn till och ställa er följande frågor:
- Vilka kopplingar finns mellan ändamålen med den ursprungliga personuppgiftsbehandlingen och den nya?
- I vilket sammanhang har ni samlat in personuppgifterna?
- Vilket förhållande har de registrerade till er som personuppgiftsansvarig?
- Vilken personuppgiftsbehandling kan de registrerade rimligen förvänta sig?
- Vilken typ av personuppgifter ska ni behandla?
- Är uppgifterna känsliga?
- Är uppgifterna känsliga?
- Vilka risker och konsekvenser kan personuppgiftsbehandlingen ge upphov till för de registrerade?
- Kan riskerna för den enskilde öka i och med behandlingen för de nya ändamålen?
- Kan riskerna för den enskilde öka i och med behandlingen för de nya ändamålen?
- Har ni tekniska och organisatoriska skyddsåtgärder på plats för att hantera både befintliga och eventuella nya risker, som till exempel behörighetsstyrning, säkerhetskopiering och interna riktlinjer för personuppgiftsbehandling?
Som regel är det förenligt med de ursprungliga ändamålen att behandla personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål [5]. Detta är dock en bedömning som behöver göras i varje enskilt fall.
Sträva efter att införa tekniska eller organisatoriska åtgärder och begränsningar för att förhindra att personuppgifter slentrianmässigt kan komma att behandlas för andra ändamål än de ursprungliga. Kontrollera också regelbundet om en behandling är nödvändig för de ändamål för vilka uppgifterna samlades in, och att utformningen överensstämmer med kravet på ändamålsbegränsning [6].
Principen om uppgiftsminimering
Kravet på uppgiftsminimering [7] innebär att personuppgifter ska vara adekvata, relevanta och inte vara mer omfattande än nödvändigt i förhållande till de ändamål för vilka de behandlas. Ni behöver kunna motivera varför ni tänker behandla de aktuella personuppgifterna både sett till hur många registrerade vars personuppgifter behandlas och vilka kategorier av personuppgifter som behandlas om de registrerade.
Personuppgifter får endast behandlas om syftet med behandlingen inte rimligtvis kan uppnås genom andra medel. Vilka personuppgifter som behandlas ska därför bedömas i ljuset av vad som är ändamålet. Skulle ni komma fram till att personuppgifter inte behöver behandlas för att uppnå ändamålet med behandlingen av personuppgifter, ska ni avstå från att behandla dem.
Stödfrågor för att bedöma om ni endast behandlar personuppgifter som är nödvändiga
När ni bedömer om ni endast behandlar personuppgifter som är nödvändiga i förhållande till ändamålet kan ni ställa er följande frågor:
- Är era ändamål för personuppgiftsbehandling tillräckligt tydligt specificerade för att kunna avgöra vilka personuppgifter som behöver behandlas?
- Måste ni behandla personuppgifter för att uppnå ändamålet?
- Kan ni avstå från att behandla personuppgifter?
- Kan ni avstå från att behandla personuppgifter?
- Har ni övervägt att minska antalet registrerade?
- Har ni övervägt att minska antalet personuppgifter ni anser er behöva behandla om varje person?
Principen om riktighet
Principen om riktighet [8] innebär att uppgifter ska vara uppdaterade och korrekta. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Det är viktigt att försöka minimera att felaktiga uppgifter samlas in. Det kan man till exempel göra genom att kontrollera att källorna är tillförlitliga i de fall personuppgifter hämtas från utomstående källor. Om ni samlar information genom formulär, försök använda förutbestämda alternativ istället för fritextfält.
Den registrerade har rätt att få sina felaktiga personuppgifter rättade samt att komplettera ofullständiga personuppgifter [9]. Ni behöver ha kontaktvägar och rutiner som ger en möjlighet att ta emot en begäran om rättelse.
Kom ihåg att en begäran om att få sina personuppgifter raderade behöver hanteras utifrån flera olika lagkrav. Radering kan orsaka förvanskning av allmänna handlingar. Huvudregeln i offentlig förvaltning är att information ska bevaras, vilket innebär att ni behöver veta att ni har stöd för att radera informationen, exempelvis genom gallringsbeslut.
Stödfrågor för att bedöma er personuppgiftsbehandling mot principen om riktighet
När ni bedömer er personuppgiftsbehandling mot principen om riktighet kan ni använda er av följande stödfrågor:
- Har ni möjlighet att i förhållande till de ändamål för behandling som identifierats kontrollera om personuppgifterna är riktiga?
- Finns rutiner för att följa upp och vid behov rätta felaktiga personuppgifter?
- Finns rutiner för att – om nödvändigt – radera felaktiga personuppgifter och finns det en rättslig möjlighet att göra sådan radering?
- Finns rutiner för att följa upp och vid behov rätta felaktiga personuppgifter?
- Har ni rutiner för att under behandlingens livscykel utföra uppdateringar och kompletteringar av personuppgifter?
Principen om lagringsminimering
Kravet på lagringsminimering [10] innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Ni behöver alltså göra en bedömning av hur länge det är rimligt att behandla personuppgifter för att uppnå ändamålen. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör ni införa tidsfrister för kontroll, gallring och radering.
Det kan vara tillåtet att lagra personuppgifter när det ursprungliga ändamålet inte längre är aktuellt, om det sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Den personuppgiftsansvariga måste då vidta lämpliga skyddsåtgärder för att skydda personuppgifterna.
Har ni bedömt om det finns möjligheter i ett tänkt dataflöde att minska antalet kopior av personuppgifter som kan genereras i flödet? Medger den tekniska lösningen att fler uppgifter behandlas än vad som är nödvändigt, till exempel genom att spara personuppgifter på andra tekniska ytor? Var vaksamma på flödet av personuppgifter och om lagring av eventuella kopior av uppgifterna sker ”längs vägen”. Lagra inte personuppgifter som inte är nödvändiga för ändamålet för behandlingen.
Se till att ha tydliga interna arbetssätt och funktioner för radering av personuppgifter eller avidentifiering. Se till att det inte är möjligt att återskapa de raderade personuppgifterna.
Ni kan behöva definiera lagringskriterier, alltså kriterier som bestämmer vilka uppgifter som är nödvändiga och vilken lagringsperiod som är nödvändig för ändamålet.
Principen om integritet och konfidentialitet
Kravet på integritet och konfidentialitet [11] innebär att personuppgifter ska behandlas med lämplig säkerhet. Det uppnås genom användning av lämpliga tekniska eller organisatoriska säkerhetsåtgärder. Det innefattar skydd mot obehörig eller otillåten behandling samt mot förlust, förstöring eller skada genom olyckshändelse. Endast behörig personal ska ha tillgång till de personuppgifter som krävs för behandlingen. Det kan också vara nödvändigt att skilja på personalens olika åtkomstmöjligheter. Olika roller kan behöva olika åtkomst. En person ska som utgångspunkt inte ha åtkomst till fler personuppgifter än vad den behöver för att fullgöra sina arbetsuppgifter.
De olika typerna av åtgärder behöver säkerställas både på en övergripande organisationsnivå och i samband med personuppgiftsbehandlingen. På den övergripande organisationsnivån kan det handla om att ha ett fungerande systematiskt dataskyddsarbete. Bland annat handlar det om att göra en bedömning av säkerhetsriskerna kopplade till personuppgiftsbehandlingen och riskernas inverkan på enskildas rättigheter. Det är viktigt att till exem-pel kunna identifiera extra skyddsvärda personuppgifter och skydda dessa genom olika skyddsnivåer och behörighetsstyrning.
Det finns stora samordningsvinster att göra genom att väva samman dataskyddsarbetet med informationssäkerhetsarbetet, till exempel genom att i informationsklassningen lyfta upp dataskyddsfrågor. Ett sätt att arbeta strukturerat med den tekniska och organisatoriska säkerheten är att ta fram interna styrdokument som klargör hur personuppgiftsbe-handling får gå till i er organisation. Om dataskyddsarbetet och informationssäkerhetsarbetet vävs samman finns goda chanser att identifiera höga risker för enskildas fri- och rättigheter vilket kan innebära att en konsekvensbedömning avseende dataskydd [12] behöver genomföras.
Källhänvisningar
[1] Artikel 5 i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[2] Se skäl 39 samt Artikel 5.1 a i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[3] Jfr s. 18-20, p. 70 i EDPB:s Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard (edpb.europa.eu) Länk till annan webbplats.
[4] Se skäl 39 samt Artikel 5.1 b i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[5]Jfr. skäl 50 samt Artikel 89.1 i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[6] Jfr s. 21-22 p. 72 i EDPB:s Riktlinjer 4/2019 om artikel 25 Inbyggt dataskydd och dataskydd som standard (edpb.europa.eu) Länk till annan webbplats.
[7] Se skäl 39 samt Artikel 5,1 c i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[8] Se skäl 39 samt Artikel 5.1 d i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[9] Artikel 16 i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[10] Se skäl 39 samt Artikel 5.1 e i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[11] Artikel 5.1 f i dataskyddsförordningen (imy.se) Länk till annan webbplats.
[12] Artikel 35 i dataskyddsförordningen (imy.se) Länk till annan webbplats. samt IMY:s Förteckning enligt artikel 35.4 i Dataskyddsförordningen (imy.se) Länk till annan webbplats.
Ditt svar hjälper oss att förbättra sidan
Senast uppdaterad: