All behandling av personuppgifter måste uppfylla de grundläggande principer som anges i dataskyddsförordningen. Principerna innebär bland annat att personuppgifter bara får samlas in för berättigade ändamål som inte är alltför allmänt hållna och att mängden uppgifter ska begränsas till vad som är nödvändigt för ändamålen. Uppgifterna får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål och inte heller sparas längre än nödvändigt. Den som behandlar personuppgifter ska kunna visa att principerna följs.

De grundläggande principerna motsvarar de grundläggande kraven i personuppgiftslagen. En viktig nyhet är att det uttryckligen anges att den som behandlar personuppgifter ska ansvara för och kunna visa att man följer bestämmelserna i dataskyddsförordningen (ansvarsskyldighet).

Principerna ska iakttas vid all behandling. Den som behandlar personuppgifter måste därför ha rutiner för att se till att de följs.
 

Laglighet, korrekthet och öppenhet

Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bland annat att det måste finnas en rättslig grund för behandlingen.

Att personuppgifter ska behandlas på ett öppet sätt i förhållande till den registrerade innebär bland annat att det ska vara klart och tydligt för denne hur hans eller hennes personuppgifter samlas in och i övrigt behandlas. De registrerade måste därför få information om behandlingen som är både lättillgänglig och formuleras med ett klart och tydligt språk.
 

Ändamålsbegränsning

Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan insamlingen av personuppgifter börjar. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. De på förhand fastställda ändamålen är med andra ord det som sätter ramarna för behandlingen. Ändamålen ska dokumenteras skriftligt och den registrerade ska få information om ändamålen både när uppgifterna samlas in och annars när denne begär det. Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen måste de registrerade också informeras om detta.

De insamlade personuppgifterna får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.
 

Uppgiftsminimering

Principen om uppgiftsminimering innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov. Insamlade personuppgifter får inte heller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ursprungliga ändamålen.
 

Korrekthet

Personuppgifterna ska vara korrekta och uppdaterade. Den som behandlar personuppgifter måste vidta alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om det krävs för ändamålen ska personuppgifterna dessutom vara uppdaterade.
 

Lagringsminimering

Personuppgifter får inte sparas, det vill säga. förvaras i en form som möjliggör identifiering av den registrerade, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.

När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den som behandlar personuppgifter införa tidsfrister och rutiner för radering eller avidentifiering.

De insamlade personuppgifterna får lagras under längre tid för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.
 

Integritet och konfidentialitet

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
 

Ansvarsskyldighet

Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade, att dokumentera de behandlingar som pågår i organisationen och de överväganden man har gjort samt att ha dokumenterade interna riktlinjer för dataskyddet (en dataskyddspolicy). Att utse ett dataskyddsombud som bidrar till organisationens efterlevnad av förordningen och de interna riktlinjerna kan också vara ett sätt att uppfylla kravet på ansvarsskyldighet.
  

Svensk version av dataskyddsförordningen (webbversion)

Svensk version av dataskyddsförordningen (pdf-version)

Engelsk version av dataskyddsförordningen (pdf-version)
 

Läs mer om:

Grunderna i dataskyddsförordningen
Dataskyddsförordningens beaktandesatser (skäl)
Enkla grunder i dataskydd
Dataskyddsförordningens syfte
Missbruksregeln upphör
Dataskyddsförordningens tillämpningsområde
Rättslig grund för personuppgiftsbehandling
Känsliga personuppgifter
De registrerades rättigheter
Skyldigheter för de som behandlar personuppgifter
 
 

Källa:

Datainspektionen