Alla artiklar

Checklista: Principer för personuppgiftsbehandling

Den som är Personuppgiftsansvarig ska ansvara för att samtliga sex grundläggande principer för personuppgiftsbehandling är uppfyllda. Checklistan går igenom vilka de är och dess innebörd. Dina personuppgiftsbehandlingar skall leva upp till samtliga av dem.

Profilbild
Jan-Erik NilssonUtbildare & kursledare
·14 min läsning

1. Var medveten om de grundläggande principerna

Vem är ansvarig?

Den personuppgiftsansvarige (en fysisk eller juridisk person som bestämmer syftet och hjälpmedlen för behandlingen av personuppgifter, t.ex. ett aktiebolag, en stiftelse eller en förening, inte en anställd person) ska ansvara för att de sex grundläggande principerna är uppfyllda. Ansvarsskyldigheten innebär också att den personuppgiftsansvarige ska kunna visa att dessa principer följs.

Ansvaret gäller även om den personuppgiftsansvarige har anlitat ett personuppgiftsbiträde (en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning, t.ex. en IT-leverantör) eller utsett ett dataskyddsombud. Oavsett om den faktiska personuppgiftsbehandlingen sker hos ett personuppgiftsbiträde eller inte och oavsett om biträdet är en myndighet eller en enskild, så är det den personuppgiftsansvarige som ansvarar för att de grundläggande principerna är uppfyllda.

De sex grundläggande dataskyddsprinciperna är:

  • principen för laglighet, korrekthet och öppenhet

  • principen om ändamålsbegränsning (och finalitetsprincipen)

  • principen för uppgiftsminimering

  • principen om riktighet

  • principen om lagringsminimering, och

  • principen för integritet och konfidentialitet.

Varje princip behandlas var för sig i det följande. Dessa principer gäller vid all behandling av personuppgifter.

Grundläggande krav

Att endast tillämpa alla grundläggande dataskyddsprinciper räcker inte för att behandla personuppgifter. Grundläggande krav för all behandling av personuppgifter, bortsett från alla principer, är att minst en av de lagliga grunderna också måste vara tillämplig. Det är endast om någon av de lagliga grunderna är tillämplig som behandling av personuppgifter över huvud taget får ske. Därutöver ska de relevanta bestämmelserna i förordningen tillämpas bl.a. beroende på vilka personuppgifter och vilka behandlingar som är aktuella.

En av de lagliga grunderna är att den registrerade kan ge sitt samtycke till en behandling. Det är dock inte möjligt att den registrerade ger sitt samtycke till behandling som strider mot de sex grundläggande principerna.

Vad kan hända vid överträdelser?

Överträdelse av bestämmelserna om dataskyddsprinciperna i dataskyddsförordningen när det gäller personuppgiftsansvarigas skyldigheter i dessa avseenden kan under vissa omständigheter medföra de högre administrativa sanktionsavgifterna.

Varje person som har lidit skada till följd av en överträdelse av dataskyddsförordningen ska ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Dessa kan således bli solidariskt skadeståndsansvariga gentemot de registrerade.

2. Uppmärksamma laglighet, korrekthet och öppenhet

Personuppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Enligt dataskyddsförordningen kallas den första principen för laglighet, korrekthet och öppenhet (eng. lawfulness, fairness and transparency).

- Lagligheten innebär åtminstone att behandlingen av personuppgifter måste vara i enlighet med bestämmelserna i dataskyddsförordningen och tillhörande reglering som gäller personuppgifter. Begreppet laglighet visar sig bl.a. konkret i de bestämmelserna i förordningen som kräver att en personuppgiftsansvarig måste ha en laglig grund för behandlingen av personuppgifter.

Uttrycket laglighet finns även i dagens personuppgiftslag och Högsta förvaltningsdomstolen har tolkat att laglig behandling endast avser att behandlingen ska vara förenlig med personuppgiftslagen och föreskrifter som har meddelats med stöd av nämnda lag. Om behandlingen skulle strida mot annan lagstiftning, t.ex. marknadsföringslagen så innebär det inte att behandlingen strider mot detta begrepp inom ramen för denna princip.

- Enligt förordningen måste varje behandling av personuppgifter vara laglig och rättvis. Det ska vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas.

En korrekt behandling förutsätter att de registrerade får kännedom om behandlingen, dvs. att de informeras i enlighet med regleringen i dataskyddsförordningen. Korrekthet skulle även kunna innebära att man inte får använda dolda arrangemang för att samla in uppgifter utan att den registrerade känner till det genom t.ex. telefonavlyssning eller utvecklar och använder hemliga behandlingsmetoder.

- Öppenhet kräver, enligt dataskyddsförordningen, att all information som ska lämnas till den registrerade och all kommunikation i samband med behandlingen av dessa personuppgifter, t.ex. om den registrerade begär ett registerutdrag, är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen.

Förordningen har flera bestämmelser om information som ska lämnas till de registrerade bl.a. för att säkerställa rättvis och transparent behandling.

3. Tänk noga igenom principen om ändamålsbegränsning – före

Alla personuppgifter ska enligt dataskyddsförordningen samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Den viktiga andra principen kallas för ändamålsbegränsning (eng. purpose limitation). De särskilda ändamål som personuppgifterna behandlas för ska vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in.

Tidpunkten för bestämmande om ändamålet

Ändamålen måste bestämmas redan när uppgifterna samlas in och det måste anges uttryckligen. Det finns inte någon möjlighet att skjuta upp bestämmandet av ändamålet till ett senare tillfälle och ett ändamål kan inte läggas till efteråt.

Vad innebär särskilda ändamål och uttryckligt angivna ändamål?

Insamlingen ska ske för ett särskilt ändamål vilket innebär att den personuppgiftsansvarige behöver definiera avsikten med användningen av personuppgifterna på ett så uttryckligt och tydligt sätt som möjligt. Principen om ändamålsbegränsning handlar helt enkelt om att man måste tänka igenom hur man kan begränsa ändamålen utan att för den sakens skull göra avkall på de ändamål man vill uppnå med behandlingen så länge som de ryms inom förordningens reglering. Vad är det som man vill uppnå?

Det är även möjligt att samla in personuppgifter för flera ändamål vid samma tillfälle så länge vart och ett av ändamålen preciseras och uppfyller kravet på särskilda ändamål. Det gäller även om de olika ändamålen inte är förenliga med varandra.

En alltför allmänt eller vagt hållen ändamålsbeskrivning eller mycket allmänna beskrivningar uppfyller inte kravet ett särskilt ändamål. Även om ett ändamål inte kan vara för omfattande genom att t.ex. innehålla behandlingar som man aldrig avser att utföra eller ev. funderar på att göra om åtta år, så kan det inte heller vara för smalt.

Om ändamålet uttrycks för smalt och inte är heltäckande för det man avser att göra riskerar den personuppgiftsansvarige att få lägga ner både tid och kostnader på att t.ex. både åter igen inhämta samtycke, om denna lagliga grund används, från den registrerade och att informera om bl.a. det som man inte informerade om i första omgången. Här måste man tänka på finalitetsprincipen, se i det följande. Därför är det mycket viktigt att ha ett genomtänkt ändamål.

Det är en skyldighet att se till att ändamålet eller ändamålen är uttryckligt angivna redan när uppgifterna samlas in. Som redan nämnts finns det inte något hinder mot att ange flera parallella insamlingsändamål alldeles oavsett om de sinsemellan kan tyckas vara oförenliga. Något uttryckligt rättsligt krav på den personuppgiftsansvarige att nedteckna ändamålen eller ändamålet med behandlingen av personuppgifter finns egentligen inte. Däremot medför andra bestämmelser i praktiken att de nedtecknas.

Utan särskilda och uttryckligt angivna ändamål går det knappast att bedöma huruvida personuppgifter är adekvata, relevanta och inte för många eller lagras för länge osv., dvs. tillämpa principerna om uppgiftsminimering och lagringsminimering. Detta därför att sådana bedömningar alltid ska ske i förhållande till det eller de ändamål som personuppgifterna behandlas för.

Är ändamålet eller ändamålen berättigade?

Att ändamålen ska vara berättigade utgör i likhet med principen om laglighet en direkt koppling till de lagliga grunderna. Ett ändamål som inte är berättigat i förhållande till den tillämpliga lagliga grunden är inte förenligt med ändamålsprincipen. Även det allmänna sammanhanget och omständigheterna i det aktuella fallet kan vara av betydelse för bedömningen av om ändamålen är berättigade. Ändamålet kan inte vara så omfattande att det inte täcker någon av de situationer som utgör en laglig grund för behandlingen.

Personuppgifterna ska inte senare behandlas på annat sätt

Alla personuppgifter som samlas in ska inte senare behandlas på ett sätt som är oförenligt med de ändamål som den personuppgiftsansvarige ursprungligen angav. Detta ger uttryck för en allmän dataskyddsrättslig princip som kallas finalitetsprincipen. Regleringen motverkar att insamlade personuppgifter senare används på ett sätt som inte uppgavs vid insamlingen. Därför är det också väsentligt att alla de ändamål för vilka man kan tänkas behöva använda insamlade personuppgifter till finns angivna redan då uppgifterna samlas in.

Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med dataskyddsförordningen ska inte anses vara oförenlig med de ursprungliga ändamålen. Detta behandlas dock inte i denna checklista.

Ändamål kan även finnas i lagstiftning

Ändamålen kan även finnas i lagstiftning i vissa fall varvid den personuppgiftsansvarige har att följa den regleringen. Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för, och ska kunna visa att, de grundläggande principerna följs. Det är den personuppgiftsansvarige som är ansvarig för att behandlingen enbart sker för de angivna ändamålen. Vid en tvist är det denne som har bevisbördan eftersom det är den personuppgiftsansvarige som i första hand bestämmer ändamålen.

Lämna ut personuppgifter eller ta emot personuppgifter – håll reda på ändamål

Finalitetsprincipen aktualiseras t.ex. då en personuppgiftsansvarig lämnar ut personuppgifter till en annan personuppgiftsansvarig för att användas av denne för något eget ändamål. Mottagarens ändamål får då inte vara oförenligt med utlämnarens ursprungliga ändamål. Om så är fallet strider utlämnarens behandling mot finalitetsprincipen. Mottagarens behandling, å andra sidan, torde i så fall kunna strida mot principen för laglighet, korrekthet och öppenhet.

Ändamålet ska finnas i informationen till de registrerade

Dataskyddsförordningen kräver också att den personuppgiftsansvarige ska tillhandahålla information till de registrerade bl.a. om ändamålen med den behandling för vilken personuppgifterna är avsedda. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan. Ändamålen med behandlingen är en av de upplysningar som även ska anges om den registrerade begär ett registerutdrag.

Det anges också uttryckligen i dataskyddsförordningen att om den personuppgiftsansvarige avser att behandla personuppgifterna för ett annat ändamål än det för vilket uppgifterna insamlades, ska denne före denna ytterligare behandling ge den registrerade information om detta andra syfte och lämna annan nödvändig information.

Ändamålet ska finnas i förteckningen

Enligt förordningen är varje personuppgiftsansvarig skyldig att föra en förteckning över behandling som utförts under dess ansvar, vissa undantag finns, för att påvisa att förordningen följs. Förteckningen ska bl.a. innehålla ändamålen med behandlingen.

Ändamålet ska finnas om samtycke planeras

En laglig grund för behandling av personuppgifter är att begära ett samtycke från den registrerade. Han eller hon kan då lämna sitt samtycke till att hans eller hennes personuppgifter behandlas för ett eller flera specifika ändamål. Det innebär att den personuppgiftsansvarige behöver veta sitt eller sina ändamål med behandlingen även i denna konkreta situation.

4. Tillämpa uppgiftsminimering

Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt dataskyddsförordningen kallas den tredje principen för uppgiftsminimering (eng. data minimisation).

Att personuppgifterna inte ska vara för omfattande i förhållande till de ändamål för vilka de behandlas innebär att de ska vara begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum, se även principen om lagringsminimering nedan. Samla varken in mer eller mindre personuppgifter, eller ovidkommande uppgifter, än vad som verkligen behövs i förhållande till ändamålet med behandlingen. Ett rättesnöre kan vara att den personuppgiftsansvarige kan förklara varför de olika uppgifterna behövs för att uppfylla ändamålen med behandlingen.

Detta kan även i praktiken betyda att den personuppgiftsansvarige som t.ex. använder fritextfält för något visst ändamål via internet bör utfärda skriftliga instruktioner om vilken information som är relevant att lämna i fältet.

För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Om inte ändamålsprincipen har följts som bl.a. anger att alla personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål är det svårare att bedöma om personuppgifterna är adekvata och relevanta eller om för många uppgifter behandlas.

5. Låt riktighet vara en ledstjärna

Alla personuppgifter ska vara riktiga (accurate) och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Den fjärde principen kallas för riktighet (eng. accuracy).

Den personuppgiftsansvariga har ålagts en skyldighet att vidta alla rimliga åtgärder för att rätta eller radera felaktiga uppgifter. Det betyder att den personuppgiftsansvariga behöver vara aktiv för att säkerställa personuppgifternas kvalitet och att inte vänta med att agera förrän den registrerade utnyttjar sin rätt till rättelse av bl.a. felaktiga personuppgifter.

Omständigheterna i varje enskilt fall såsom t.ex. ändamålen med behandlingen, hur många personuppgifter som behandlas och vilka konsekvenser en felaktig uppgift kan få för den registrerade kan vara faktorer som beaktas. Om det är nödvändigt att uppgifterna är uppdaterade torde avgöras med hänsyn till ändamålen med behandlingen.

Det ska även anges att bara för att en uppgift är riktig behöver det inte vara samma sak som att den är riktig och sann i förhållande till en högre sanning. Oavsett hur de lämnade uppgifterna förhåller sig till verkligheten torde de vara riktiga om de stämmer överens med de lämnade uppgifterna. Åter igen får man söka ledning i ändamålen med behandlingen.

6. Tänk på lagringsminimering

Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Den femte principen kallas för lagringsminimering (eng. storage limitation). Åter igen är det de ursprungliga ändamålen som avgör hur länge personuppgifterna får bevaras i identifierbart skick. Personuppgifterna får behandlas för respektive ändamål – om man har haft flera – bara så länge det behövs för just det ändamålet.

Datainspektionen har bl.a. angett att i ett förhållande mellan säljare och kund bör personuppgifterna inte längre bevaras om mellanhavandet mellan säljaren och kunden har avslutats, t.ex. då en vara har levererats och är helt betald. Om säljaren ska kunna fullgöra ev. garantiåtaganden kan det motivera att vissa personuppgifter bevaras tills garantin har gått ut. Att kunden har möjlighet att reklamera varan innebär inte med automatik att uppgifter om kunden får bevaras under den tid som reklamationsfristen löper. Om varan är en sällanköpsvara eller en förbrukningsvara kan ha betydelse för bedömningen av hur länge uppgifterna får bevaras för reklamationsändamål.

Den har vidare angett när det gäller arbetssökande att personuppgifter i en ansökan, intervjuanteckningar och uppgifter från referenser normalt bör gallras bort när anställningsförfarandet har avslutats. Arbetsgivaren får dock bevara uppgifterna så länge den sökande t.ex. har möjlighet att överklaga beslutet om att denne inte fick jobbet. Vill arbetsgivaren använda uppgifterna längre, t.ex. för framtida rekrytering, måste den arbetssökande informeras och samtycka till fortsatt registrering.

Lagringsperioden ska finnas i informationen till de registrerade

Det krävs också enligt dataskyddsförordningen att den personuppgiftsansvarige ska tillhandahålla information till de registrerade bl.a. den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. Detta gäller oavsett om personuppgifterna kommer från den registrerade själv eller inte, dvs. om de har erhållits från någon annan. Samma information ska även ges om den registrerade begär ett registerutdrag.

Lagring ska finnas i förteckningen

Enligt förordningen är varje personuppgiftsansvarig skyldig att föra en förteckning över behandling som utförts under dess ansvar, vissa undantag finns, för att påvisa att förordningen följs. Förteckningen ska bl.a. innehålla bl.a. om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

7. Säkra att lämplig säkerhet finns

Personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder. Enligt dataskyddsförordningen kallas den sjätte principen för integritet och konfidentialitet (eng. integrity and confidentiality).

Integritet i detta sammanhang är en säkerhetsprincip med innebörden att personuppgifterna inte förändras eller förstörs av misstag varken av en obehörig person eller av processen. Konfidentialitet är också en säkerhetsprincip som innebär att informationen inte görs tillgänglig eller avslöjas för obehörig person eller process. Båda begreppen ingår i generell informationssäkerhet.

Har du ytterligare frågor?

Mer från easy2perform

logo

Vi som jobbar med easy2perform fokuserar på att ge stöd och vägledning till företag, chefer och medarbetare. Oavsett om det sker genom våra gratislösningar på mobil & webb, kurser eller konsulttjänster, levererar vi kunskap som gör det enklare att prestera i yrkesrollen.

Sidor

Kontakta oss