Vi är ett kreditvärdigt företag enligt Bisnodes värderingssystem som baserar sig på en mängd olika beslutsregler. Denna uppgift är alltid aktuell, informationen uppdateras dagligen via Bisnodes databas. Trygg e-handel
Laddar

Varukorgen är tom

  • GDPR? Informationssäkerhet? Brandskydd?
    GDPR? Informationssäkerhet? Brandskydd?
    Jobba förebyggande och ta hjälp av proffs inom säkerhet
  • Behöver ni dokument anpassade för era krav?
    Behöver ni dokument anpassade för era krav?
    Vi kan hjälpa er med produktion, drift och programmering.
  • Behöver du HR-stöd inom 24 arbetstimmar?
    Behöver du HR-stöd inom 24 arbetstimmar?
    Din personalchef på nätet. Snabba och professionella råd och svar.
  • Behöver du få svar inom 24 arbetstimmar?
    Behöver du få svar inom 24 arbetstimmar?
    Basjuridisk rådgivning. Korrekt och kostnadseffektivt.
  • Alltid uppdaterade och tillgängliga överallt
    Alltid uppdaterade och tillgängliga överallt
    Över 2000 dokument och mallar som är kontrollerade av proffs.

Principer för behandling av personuppgifter

Principerna innebär att personuppgifter bara får samlas in och behandlas om det är lagligt och förenligt med ändamålet med behandlingen. Principerna ska beaktas och prövas för all behandling av personuppgifter som sker i den personuppgiftsansvariges organisation, dessa beskrivs nedan och de berör:

  • Ansvarsskyldighet och öppenhet
  • Ändamålsbegränsning
  • Lagringsminimering
  • Uppgiftsminimering
  • Inbyggt dataskydd
  • Stöd för dataskydd

Principskiss

Principskiss GDPR

Bild 1. Bildillustration dataskyddsförordningen

Ansvarsskyldighet och öppenhet

Ansvarsskyldigheten innebär att den som är personuppgiftsansvarig (samt personuppgiftsbiträde eller underbiträde) ska kunna visa att Dataskyddslagstiftning beaktas och följs i tillämpliga delar.

Den som behandlar personuppgifter måste därför tillämpa dokumenterade styrningar och rutiner som medför att kontroll och revision kan genomföras.

Öppenheten innebär att personuppgiftsansvariga ska vara öppen och transparent med den behandling av personuppgifter som sker, i synnerhet mot de registrerade.

Ändamålsbegränsning

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att den som ska behandla personuppgifter måste ha ändamålen klara för sig redan innan behandling av personuppgifter påbörjas. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål. Ändamål med behandling av personuppgifter ska dokumenteras (se rubricering artikel 30) och den registrerade ska få information om ändamålen och behandlingen både när uppgifterna samlas in eller när den registrerade begär det.

Om de insamlade personuppgifterna senare ska behandlas för andra ändamål som är förenliga med de ursprungliga ändamålen så måste registrerade också informeras om detta innan behandlingen påbörjas.

De insamlade personuppgifterna får behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen. Om personuppgifter ska förvaras av ovan angivna ändamål, så ska det finnas lämpliga skyddsåtgärder som gör att personuppgifter får ett adekvat skydd. Exempelvis kan sammanställningar få krypteringsskydd, att åtkomst är behörighetsstyrd, att metoder för pseodonymisering används.

Lagringsminimering

Lagringsminimering innebär att organisationens på förhand anger hur länge personuppgifter ska behandlas. Grundprincipen är att personuppgifter inte får sparas längre än nödvändigt.

Uppgiftsminimering

Med uppgiftsminimering enligt dataskyddslagstiftningen ska så få personuppgifter som möjligt samlas in och behandlas. Det måste fastställas vilka personuppgifter som verkligen krävs för att tillgodose ändamålet med den tilltänkta behandlingen.

Uppgiftsminimering innebär också att personuppgifterna ska vara adekvata, relevanta och inte omfattande i förhållande till de ändamål för vilka de behandlas. Det är otillåtet att samla in personuppgifter för obestämda behov.

Redan insamlade personuppgifter får inte behandlas om de inte längre är relevanta för de ursprungliga angivna ändamålen.

Inbyggt dataskydd (privacy by design)

Inbyggt dataskydd innebär att organisationen tar hänsyn till personuppgifts- och integritetsskydd redan i planeringsstadiet för behandling av personuppgifter i sina tilltänkta eller befintliga informations- och informationsbehandlingssystem samt att i anslutning till detta skapa den styrning som krävs för organisationen ska kunna mäta, kontrollera och följa upp arbeten som berör behandling av personuppgifter.

Stöd för dataskydd (privacy by default)

Kravet på stöd för dataskydd som standard innebär i korthet att den som behandlar personuppgifter ska se till att de informationsbehandlingssystem som används redan från början stödjer säkerhets- och skyddsfunktioner för behandling av personuppgifter.

Den personuppgiftsansvarige har till uppgift, enligt dataskyddslagstiftningen, att fortlöpande bevaka att de metoder och funktioner för data- och integritetsskydd som används i organisationen ständigt förbättras. Detta innebär att personuppgiftsansvariga på ett kontinuerligt och återkommande sätt exempelvis genomför analys, konsekvensbedömning och riskhanteringsprocesser, baserat på incidenter och egenkontroller att olika tillämpningar över tiden tillåter ett adekvat skydd för den behandling av personuppgifter som sker.

Ett arbete utifrån perspektiven inbyggt dataskydd och stöd för dataskydd, där en organisation ska driva ett förändringsarbete, kräver hög kompetens och förståelse av de informationsbehandlingssystem som tillämpas eller ska tillämpas inom organisationen och vid till exempel kravställning vid upphandling. IT-system som ett exempel berör bland annat hårdvara, mjukvara (inklusive kod/programmering), drift, underhåll och mycket mera. En förutsättning för god kontroll är att inventera organisationens informations- och informationsbehandlingsresurser, dess beroenden och vilka aktörer som är inblandade.

Arbetet bör bedrivas i projektform och innefatta riskanalys, riskhantering, förstudier och kravställning utifrån olika discipliner. Discipliner återges som exempel, men inte begränsat till informationssäkerhet, juridiskt bindande krav, design, ledning, utveckling, funktioner. Tillämpning av livscykelperspektiv från skapande till användning och avveckling för både informations- och informationsbehandlingsresurser bör beaktas. Involvera den kompetens som krävs.

Principer för inbyggt dataskydd och integritetsskydd omfattar att informationsbehandlingssystem ska stödja:

  • Att behandling av personuppgifter kan minimeras
  • Att personuppgifter inte ska kunna behandlas i andra syften än vad man samlade in den för
  • Att behandling av känsliga personuppgifter ska kunna åtnjuta högre säkerhets- och/eller skyddsnivåer
  • Former av behörighetssystem och styrning för åtkomst/tillträde till personuppgifter
  • Att personuppgifter inte ska behandlas längre än vad som krävs
  • Möjligheter att använda kryptering vid lagring och kommunikation av personuppgifter
  • Styrning av loggar
  • Att arbetsflödet automatiskt styrs, så att användaren arbetar på ett integritetssäkert arbetssätt och att grundinställningarna är konfigurerade så att inte mer information än nödvändigt visas
  • Att funktioner och rutiner för att gallra personuppgifter finns
  • Insyn för registrerade
  • Att kunna härleda transaktioner om personuppgifter
  • Att kunna välja bort personuppgifter som inte är relevanta
  • Anonymisering
  • Att användargränssnitt kan styras för att begränsa eller för att förebygga mänskliga felskrivelser, felbehandling eller felhantering

Olika metoder och skyddsåtgärder kan till exempel vara:

  • Segmentering
  • Behörighetsadministration, roll och resurstilldelning
  • Kryptering
  • Högre krav på arkivering eller lagring
  • Avidentifiering
  • Pseodonymisering
  • Backup
  • Märkning (utifrån organisationens gällande klassificeringssystem)
  • Efterlevnad av organisationens fastställda styrningar
  • Att på ett systematiserat sätt införliva återkommande och periodiska kontroller som består av bland annat prestandaövervakning, övervakning av användning, kontroll av loggar såsom systemfel, inloggningsmönster eller kontroller av införda andra logiska funktioner (exempelvis intrångsdetekteringssystem (IDS), brandvägg m.fl.

Missbruksregeln

Den sk. missbruksregeln under f.d. dataskyddslagstiftningen (personuppgiftslag, PUL) är inte längre tillämpbar. PUL gjorde undantag för ostrukturerade personuppgifter. Dataskyddsförordningen medger inga undantag, oavsett om uppgifterna är strukturerade eller ostrukturerade. 

Vad innebär strukturerade personuppgifter?

Personuppgifter räknas som strukturerade så fort de görs sökbara, exempelvis genom att du lägger in dem i en databas eller ett register (det spelar ingen roll om det är ett digitalt eller analogt system).

Vad innebär ostrukturerade personuppgifter?

Ostrukturerade personuppgifter är all form av lagring, behandling och publicering av personuppgifter som inte är samlade och ordnade i ett sökbart system (det spelar ingen roll om det är ett digitalt eller analogt system).

Dokument
Uppförandekod - Personuppgiftshantering