Grundläggande principer för behandling av personuppgifter

Läs mer om rättslig grund här.

Alla personuppgiftsbehandlingar måste även uppfylla de grundläggande principer som anges i dataskyddsförordningen, dessa principer kan ses som kärnan i dataskyddsförordningen. Principerna gäller för all personuppgiftsbehandling, och det är viktigt att alla verksamma vid KI förstår och tillämpar dem. Vidare måste också övriga principer och bestämmelser i dataskyddsförordningen och i annan kompletterande lagstiftning uppfyllas och följas.

Laglighet, korrekthet och öppenhet

Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade.

Ändamålsbegränsning

Personuppgifterna ska samlas in för specifika ändamål och inte senare behandlas på ett sätt som inte är förenligt med dessa ändamål. Det vill säga att ni måste ange varför behandlingen är nödvändig för det ändamål som den rättsliga grunden stödjer. Att ange ”administration”, ”forskning” eller ”ekonomisystem” är inte tillräckligt detaljerat, då den registrerade inte kan göra bedömningen av vad behandlingen innebär.

Grundtanken är att den registrerade ska kunna förutse vad som kommer hända med dennes information när du behandlar den. Uppgifterna får sedan bara behandlas för ändamål som är förenliga med det ändamål för vilket de samlades in.

Arkivering, behandling för statistiska ändamål och vetenskapliga forskningsändamål anses inte vara oförenliga med det ursprungliga ändamålet. Därför kan exempelvis uppgifter från befolkningsregister och hälso- och sjukvården användas i forskningen.

Uppgiftsminimering

Personuppgifterna ska inte vara för omfattande i förhållande till de ändamål som de behandlas för. Det innebär att du endast får samla in uppgifter som du vet att du kommer att använda och som krävs för att uppfylla ändamålet, när ändamålet är uppfyllt ska uppgifterna antingen raderas eller gallras.

Korrekthet

Personuppgifterna ska vara korrekta och om nödvändigt, uppdaterade. Du förväntas vidta rimliga åtgärder för att personuppgifter som är felaktiga raderas eller rättas utan dröjsmål.

Lagringsminimering

Personuppgifterna får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de bestämda ändamålen. Här finns ett undantag som säger att personuppgifter får lagras under längre perioder om det är nödvändigt för arkivändamål, statistik eller vetenskapliga forskningsändamål.

Integritet och konfidentialitet

Personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet. Detta innefattar skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Detta kan uppnås genom både tekniska åtgärder (exempelvis användningen av brandväggar, kryptering, pseudonymisering, säkerhetskopiering, anti-virus-skydd, säker auktorisering m.m.) och organisatoriska åtgärder (exempelvis interna rutiner, instruktioner, riktlinjer, separat hantering m.m.).

Ansvarsskyldighet

Den personuppgiftsansvarige (KI) ska kunna ansvara och kunna visa att dessa principer efterlevs och på vilket sätt detta görs.

Checklista för de grundläggande principerna för dataskydd

• Bestäm ändamålet: Varför ska ni behandla personuppgifter? Vad är syftet med behandlingen?
• Hitta en rättslig grund: Vilken rättslig grund i dataskyddsförordningen stödjer ni er på när ni behandlar personuppgifter?
• Informera de registrerade: Är informationen lätt att hitta och är den lätt att förstå för de registrerade?
• Ha rätt uppgifter: Behandlar ni bara de personuppgifter som ni behöver för ändamålet? Har ni för mycket personuppgifter?
• Skydda personuppgifterna: Har ni vidtagit tillräckliga tekniska och organisatoriska säkerhetsåtgärder? Har ni gjort en risk- och sårbarhetsanalys?
• Radera eller gallra uppgifter: Har ni rutiner för att radera eller gallra personuppgifter när de inte längre behövs för ändamålet?
• Visa att ni gör rätt: Har ni dokumenterat er personuppgiftsbehandling, inklusive beslut och överväganden? Har ni skapat interna riktlinjer för dataskydd och hantering av personuppgifter?