EG:s General Data Protection Regulation (GDPR) beskriver de sex dataskyddsprinciperna som organisationer måste följa vid insamling, behandling och förvaring av enskildas personuppgifter. Datakontrollanten är ansvarig för att uppfylla principerna och måste kunna uppvisa organisationens efterlevnadspraxis.
Vi har listat de sex principerna här med råd om hur du kan följa dem.
Lagligt, rättvist och transparent
Den första principen är relativt självklar. Organisationer behöver säkerställa att deras praxis för insamling av personuppgifter inte bryter mot lagen och att inte döljer någonting för de registrerade.
För att fortsätta följa lagen behöver du ha en grundlig förståelse av GDPR och dess regler för insamling av personuppgifter. För att fortsätta vara transparent mot de registrerade ska du i din sekretesspolicy ange typen av uppgifter som du samlar in och anledningen till att du gör det.
Ändamålsbegränsning
Organisationer ska enbart samla in personuppgifter för specifika ändamål och tydligt ange vad ändamålet är och enbart samla in personuppgifter under den tid som är nödvändig för ändamålet i fråga.
Behandling som görs för arkiveringsändamål av offentligt intresse eller av vetenskapligt, historiskt eller statistiskt ändamål ges större frihet.
Uppgiftsminimering
Organisationer får enbart behandla personuppgift om det är nödvändigt för specifika behandlingsändamål. Detta har två huvudsakliga fördelar. För det första i händelse av dataöverträdelser kommer obehöriga parter, som får åtkomst till informationen, bara kunna se en begränsad mängd uppgifter. För det andra gör minimering det lättare att hålla informationen korrekt och aktuell.
Noggrannhet
Noggrannhet vid hantering av personuppgifter är en integrerad del av dataskyddet. GDPR anger att ”varje rimlig åtgärd måste vidtas” för att ta bort personuppgift som är felaktig eller ej komplett.
Enskilda har rätt att begära att felaktiga eller ej kompletta uppgifter raderas eller korrigeras inom 30 dagar.
Begränsning av förvaring
På liknande sätt behöver organisationer radera personuppgift som inte längre är nödvändig för det ändamål som den ursprungligen insamlades för.
Hur vet du när informationen inte längre är nödvändig? Marknadsföringsföretaget Epsilon Abacus säger att organisationer kan anföra att de ”bör tillåtas att förvara personuppgift så länge som den enskilde kan anses vara en kund”. Så frågan är verkligen: För hur lång tid efter slutfört köp kan en enskild anses vara en kund?”
Svaret på denna fråga kommer att variera mellan branscherna och anledningen till varför personuppgift samlades in. Varje organisation som är osäker på lång tid som en personuppgift kan hållas kvar bör konsultera en jurist.
Integritet och konfidentialitet
Detta är den enda principen som uttryckligen behandlar säkerhet. GDPR anger att personuppgift måste ”behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgiften inklusive skydd mot obehörig och olaglig behandling och mot oavsiktlig förlust, förstörelse eller skada med hjälp av tekniska och organisatoriska åtgärder”.
GDPR är medvetet vagt om vilka åtgärder som organisationer bör vidta därför att tekniska och organisatoriska bästa praxis ändras hela tiden. För närvarande bör organisationer kryptera och/eller anonymisera personuppgifter, där detta är möjligt, men även andra alternativ bör övervägas.
GDPR utbildning
Dessa sex principer ger en översikt över områden som täcks av GDPR men de är långt ifrån omfattande. Återstoden av förordningen går mycket mer in på detaljer om specifika metoder som organisationerna för använda sig av för att säkerställa efterlevnad.
De som önskar lära sig mer om GDPR bör överväga att anmäla sig till vår EG:s certifierade GDPR utbildningskurs.
Denna en dagars kurs är en perfekt introduktion till GDPR och de krav som du behöver uppfylla. Denna endagskurs ges av en erfaren dataskyddspraktiker och är lämplig för chefer eller ledare som vill förstå hur GDPR påverkar deras organisation, anställda som ansvarar för GDPR överensstämmelse och de med de grundläggande kunskaperna om dataskydd som vill hjälpa till att utveckla sina karriärer.
