En Förklaring Av GDPRs 7 Grundläggande Principer

Ismail Özkan
By: Ismail Özkan GDPR | 6 december

De många olika kraven på skydd av data, och integritet, är direkt relaterade till de 7 grundläggande principer i EU:s allmänna dataskyddsförordning (GDPR). Med detta blogginlägg, vill jag skapa en introduktionsguide till GDPR, där jag kommer att gå igenom de sju principer som GDPR är byggt på. Jag kommer också att presentera konkreta exempel för att förklara deras innebörd, och rekommendationer på vad du kan göra för att följa dem. Att förstå de 7 grundläggande principer, kommer hjälpa dig att efterleva GDPR.

Vilka är de 7 principerna för GDPR?

För att hålla det enkelt, alla de kraven om hur data ska behandlas inom GDPR, grundar sig i de sju grundläggande principerna. Att förstå dataskyddsförordningens sju principer, kommer därför att underlätta för dig att förstå regler och bestämmelser. De sju principerna är:

  1. Lagenlighet, korrekthet och öppenhet

  2. Ändamålsbegränsning

  3. Uppgiftsminimering

  4. Riktighet

  5. Lagringsminimering

  6. Integritet och konfidentialitet

  7. Ansvarsskyldighet

Innan vi går mer i detalj i varje princip var för sig med konkreta exemplar, vill jag först förklara varför det är viktigt att faktiskt förstå dessa grundläggande principer, och hur man kan jobba med dem.

7 Principles - Infographics_SE

Klicka för att förstora

 

Att förstå de grundläggande principerna

Efter att GDPR infördes 2018 ställdes många företag inför utmaningen att hantera kraven. Och dessa utmaningar finns kvar i 2021. Att personuppgifter behandlas och hanteras på ett korrekt sätt är inte bara ett moraliskt ansvar, utan också ett lagkrav som kan medföra höga böter och förlorat anseende om det inte efterlevs.

GDPR kan innebära enorma utmaningar. Eftersom personuppgifter finns överallt, och alla organisationer på ett eller annat sätt behandlar personuppgifter. Regelverket kan framstå som en lång och torftig förordning, med ett svårförståeligt språk. Det är inte ovanligt för en organisation att tro att man måste ha en jurist för att kunna efterleva dataskyddsförordningen.

Men, alla GDPR:s paragrafer baseras på sju grundläggande principer. Det innebär att om du förstår dessa sju principer är du ett steg närmare att förstå och efterleva GDPR. Men kom ihåg att vi har valt att förenkla GDPR i detta blogginlägg, så att nybörjare kan följa med, detta blogginlägg kan inte ersätta jurister och konsulter.

Eftersom det är i princip omöjligt att undgå att behandla personuppgifter för en verksamhet, kan dessa sju principer vara relevanta för dig, men i vilken omfattning de gör det, beror på sammanhanget. Därför hat jag valt att förklara GDPRs principer med ett exempel som är genomgående i hela inlägget. Exemplet är utformat för att vara så allmänt som möjligt och för att kunna tillämpas på största möjliga antal organisationer.

Exempel på GDPRs 7 principer

Säg att din organisation vill sända ut ett nyhetsbrev till sina kunder eller sina medlemmar. Till nyhetsbrevet kan man registerna på flera olika vis. Man kan till exempel välja att prenumerera på nyhetsbrevet genom att fylla i ett formulär på er webbplats, eller så kan man bocka i en ruta samband med ett köp. På det här sätt får du en databas över dina kunder, och du kan skicka dem relevanta nyheter, uppdateringar eller något helt tredje. Du kan också använda denna kunddatabas för att anpassa dina nyhetsbrev till specifika användare, efter att ha samlat in data om hur de beter sig på din webbplats.

För det flesta organisationer är detta rätt okomplicerat.

Låt oss alltså, nu när vi har enats om ett exempel som alla kan relatera till, ta en titt på de sju grundläggande principerna i GDPR. och se hur de förhåller sig till vårt exempel.

Men låt mig först pointera att dessa principer också är relevanta i många andra tillfällen, du borde alltså översätta poängerna i den här artikeln till din egen praxis. Det kan till exempel handla om att du håller i en Instagramtävling, organiserar ett event för medarbetare eller sköter en databas med dina affärskontakter.

Nu är det dags att dyka ner i de 7 principerna. Nu kör vi!

1. Lagenlighet, korrekthet och öppenhet

Okej, jag vet att jag sa 1 princip, och att du ser tre saker. Så, utan att göra dig ännu mera förvirrad, låt mig förklara:

I grund och botten säger denna princip att personuppgifter måste behandlas i enlighet med lagen, på ett korret och öppet sätt.

Lagenlig betyder att du samlar in och behandlar uppgifter på en giltig rättslig basis. T.ex. är ett mycket vanligt sätt att få rättslig grund för behandling av personuppgifter att användaren har godkänt att du behandlar dennes uppgifter. Det finns många rättsliga grunder för att behandla personuppgifter och du kan läsa mer om dem här.

Korrekt betyder att din behandling av personuppgifter sker i den persons intresse vars data det handlar om, och att du behandlar data i en omfattning som personen rimligen kan förvänta sig.

Öppenhet betyder att du tydligt meddelar vilken data du hanterar, samt hur och varför du hanterar dem, till de personer vars uppgifter du har hand om. Det ska ske på ett sådant sätt att de vars uppgifter du behandlar lätt kan förstå omfattningen och tillvägagångssättet för din hantering.

Om vi går till vårt exempel, behöver ett nyhetsbrev minst namnen och e-postadresserna, för sina prenumeranter. Du måste få rättslig grund för detta genom att till exempel låta användaren godkänna din hantering genom att bocka för en ruta. Men det är också viktigt att du till exempel ger användarna möjligheten att begränsa insamlingen av deras uppgifter till endast det som krävs för att kunna tillhandahålla nyhetsbrevet (behöver du till exempel verkligen personens arbetstitel för att kunna tillhandahålla nyhetsbrevet? Om så är fallet ska du vara beredd på att ge goda skäl för detta). Dessutom ska du, om du ombes, kunna visa dokumentation över när och hur medgivandet gavs.

Uppgifterna som du behandlar för nyhetsbrevet måste vara korrekt. Om du till exempel är ett företag som säljer skönhetsprodukter förväntar sig dina kunder att få information om nya produkter eller blogginlägg om skönhet. Då ska du exempelvis inte använda den här kunddatabasen för att skicka ut mejl som inte är förväntade eller relevanta för dina prenumeranters syften, och som inte motsvarar avsikten de hade då de registrerade sig för ditt nyhetsbrev.

Slutligen måste du vara öppen och meddela din uppgifthanterings med ”vad”, ”hur” och ”varför”. Kom ihåg att den vars uppgifter du hanterar (det så kallade ”registrerade” i GDPR) har rätt att veta exakt vilka uppgifter du har om denne, samt hur och varför dessa uppgifter behandlas. Du kan ge ditt nyhetsbrev öppenhet genom att till exempel ha en tydlig integritetspolicy på webbsidan och göra det lätt för dina prenumeranter att kontakta din organisations dataskyddsombud (DPO).

2. Ändamålsbegränsning

Den här principen handlar om att du bara ska behandla personuppgifter för det avsedda ändamålet. Med andra ord ska du inte återanvända personuppgifter för andra ändamål än vad de ursprungligen var avsedda för.

I vårt exempel, skulle det betyda att du inte ska använda uppgifterna du får genom ditt nyhetsbrev för andra ändamål än dem du har uppgett. Om du till exempel bland uppgifterna som du vill få godkända för ditt nyhetsbrev har uppgett att du lagrar dina prenumeranters IP-adresser i syfte att dokumentera när och hur godkännandet gavs (eftersom detta krävs av GDPR), kan du inte använda IP-adresserna för att skicka person anpassat innehåll till dina prenumeranter, t.ex. produktförslag som riktas till deras geografiska område. Det skulle vara att använda deras personuppgifter i ett annat syfte.

Om du däremot har uppgett att du samlar in deras IP-adresser för att skicka ut nyhetsbrev och relevant innehåll, kanske du kan använda deras personuppgifter för att skicka riktade mejl. Men lägg vänligen märke till betoningen av ordet ”kanske”; det finns nämligen mycket sträng reglering kring detta.

När det handlar om att hantera personuppgifter agerar ditt team på frontlinjen. Du måste se till att de inte av misstag återanvänder uppgifter, på ett sätt som är emot efterlevnad. Det bästa sättet att förmedla detta är att utbilda medarbetarna, och göra dem medvetna om integritetsfrågor.

Det bästa sättet att säkerställa detta på är att utbilda dina anställda, och göra dem medvetna om integritetsfrågor. Du kanske vill ta en titt på denna kostnadsfria e-bok som vi har skrivit om hur ditt team kan bli ditt bästa försvar mot cyberattacker och dataintrång.

3. Uppgiftsminimering

När det gäller data är vi alla skyldiga till lagring av dem. Vi behåller saker för att vi tänket att de är bra att ha, men vi använder dem aldrig. Med enligt den tredje GDPR-principen ska vi inte ha data liggande som vi inte har användning för.

Den här principen säger att vi inte ska samla in mer personuppgifter än vad som krävs för att leverera de avsedda tjänsterna. Med andra ord: samla bara in och behandla precis så mycket data som behövs.

I vårt exempel skulle det betyda att du bara ska samla in de personuppgifter som är nödvändiga för att tillhandahålla nyhetsbrevet. Till exempel behöver du nog prenumeranternas namn och e-postadress, men du behöver inte veta deras jobbtitel. Den kanske är ”bra att ha” men inte nödvändig och du kommer kanske ändå inte att använda den.

Inte desto mindre är uppgiftsminimering fördelaktigt för dig på flera sätt. Inte bara kommer det att ta dig ett steg närmare efterlevnad av GDPR, du kommer också att påverkas mindre av ett eventuellt dataintrång.

4. Riktighet

Denna är kanske lite förvirrande. Medan alla de andra principerna vi har sett hittills, handlar de om att veta så lite som möjligt om människorna vars uppgifter vi behandlar, är denna på sätt och vis motsatsen. Den här principen handlar om att ha så riktiga uppgifter som möjligt.

Det betyder att personuppgifterna vi behandlar måste vara riktiga och aktuella och att du som datakontrollant och/eller hanterare ska vidta ”rimliga åtgärder” för att säkerställa detta.

Det är däremot bara gällande när personuppgifternas riktighet, är av betydelse för personen som uppgifterna gäller.

Låt mig förklara genom att återvända till vårt exempel. Säg att en av dina prenumeranter registrerade sig för nyhetsbrevet med sin arbetsmail medan hon arbetade på företag X. Om denna person byter jobb och nu arbetar på företag Y kommer e-postadressen för företag X inte längre att fungera. Därmed är uppgifterna du har om den här användaren inte längre riktiga.

En ”rimlig åtgärd” i det här fallet skulle kunna vara att inkludera en länk i ditt nyhetsbrev där dina prenumeranter kan ändra sin e-postadress. På så vis kan en person som vet att hon ska byta jobb lätt uppdatera informationen du har om henne.

Du skulle också kunna ha ett CRM-system eller ett system för e-postmarknadsföring som håller koll på e-postadresser som svarar automatiskt när du skickar ut ditt nyhetsbrev. Om en person lämnar ett företag ställer företaget normalt in ett automatiskt svar som talar om att personen inte arbetar där längre. Det kan också hända att folk ställer in automatiska svar av andra anledningar, till exempel om de är på semester. Du ska därför med jämna mellanrum gå igenom dessa automatiska svar för att se om du har prenumeranter med ogiltiga e-postadresser.

Om uppgifterna du har är felaktiga finns det ingen anledning för dig att hantera dem och de ska uppdateras eller raderas.

5. Lagringsminimering

Den här principen handlar om att radera personuppgifter när du inte längre behöver dem. I grunden ska du inte lagra personuppgifter som inte längre kan användas för det ursprungliga syftet. Den här principen är mycket lik principen om uppgiftsminimering och många företag betraktar raderingen av gamla data som en del av uppgiftsminimeringen.

Utifrån vårt exempel kan det till exempel handla om att du ska radera uppgifterna för dem som säger upp sin prenumeration. Och på motsvarande sätt måste du radera dina prenumeranters personuppgifter om din organisation beslutar sig för att sluta med nyhetsbrevet. Det beror på att syftet för insamlandet av dina prenumeranters personuppgifter var att skicka ut nyhetsbrevet, och om syftet har upphört att existera ska datasamlingen som upprättats för detta ändamål också göra det.

I vissa fall kan det vara lämpligt att behålla personuppgifter under en viss tid efter att deras syfte har upphört eller att anonymisera dem och använda uppgifterna för statistik eller historisk dokumentation. Dessa fall är däremot ett undantag snarare än regel och de måste övervägas noggrant.

6. Integritet och konfidentialitet

Om du är bekant med cybersäkerhet eller informationssäkerhet har du förmodligen hört talas om ”CIA-triangeln”. Det låter häftigt, men snarare än Central Intelligence Agency avser det en triangel som står för konfidentialitet (confidentiality), integritet (integrity) och tillgänglighet (availability).

Den här principen hör samman med två av triangelns hörn. Integritet handlar om att se till att personuppgifterna är korrekta och inte kan manipuleras av utomstående (du ska med andra ord skydda dina system mot hackare). Konfidentialitet handlar om att bara de som ska ha tillgång till personuppgifterna hanterar dem.

I vårt exempel skulle detta innebära att obehöriga inte får ha tillgång till uppgifterna som du samlar in genom ditt nyhetsbrev. Det gäller även obehöriga inom din egen organisation. Med andra ord är det bara de som behöver ha tillgång till informationen om dina prenumeranter för att kunna leverera nyhetsbrevet som får ha tillgång till den. Dessutom ska du ha vidtagit åtgärder för att hindra att uppgifterna manipuleras.

Till exempel ska dina prenumeranters personuppgifter inte lagras på en gemensam server som alla i din organisation har tillgång till, och du måste vidta nödvändiga åtgärder för att se till att du lagrar informationen på en plats som är skyddad mot cyberattacker och intrång.

7. Ansvarsskyldighet

Som namnet antyder handlar den här principen om att ta ansvar för hur du behandlar uppgifter. Det innebär att du som personuppgiftsansvarig och/eller personuppgiftsbiträde måste stå ansvar för att personuppgifter hanteras på ett korrekt sätt och att dataskyddsförordningens regler efterlevs.

När vi talar om att stå till svars menar vi inte bara att uppfylla dataskyddsförordningens olika krav, utan även att genom dokumentation kunna styrka att du gör det.

Om du till exempel använder samtycke som rättslig grund för din behandling av nyhetsbrevs prenumeranternas personuppgifter, för att därigenom leva upp till lagenlighets-principen, måste du dokumentera när och hur detta medgivande gavs. För att göra detta måste du ha ett system på plats för att registrera samtycket.

Ett annat exempel är att många av principerna för GDPR kräver att du vidtar organisatoriska åtgärder, vid sidan av tekniska åtgärder. Det kan till exempel gälla för princip två, då du måste utbilda din personal i att inte återanvända personuppgifter för andra än de ursprungliga ändamålen. Genom att erbjuda personalutbildning och dokumentera insatsen efterlever du ett krav samtidigt som du demonstrerar det.

Slutsats: Utbildning är nyckeln

Sammanfattningsvis kan GDPR ibland vara överväldigande och svårt att ta till sig på grund av dess tunga språk och akademiska förklaringar. Den här guiden var menat som en utgångspunkt för nybörjare. Jag hoppas att läsningen var lärorik, och att kunskapen du får med dig kommer underlätta ditt arbete med efterlevnad.

Som avrundning vill jag påminna dig om att dina kollegor är avgörande för att säkerställa att GDPR efterlevs i din organisation. Det är de som hanterar personuppgifter varje dag. Vi rekommenderar att du ser till att ditt team har den nödvändiga kunskapen och förmågan att handskas med personuppgifter. Det finns många sätt att åstadkomma detta på och du kan läsa mer om att öka medvetenheten för bättre efterlevnad här.

Om du är nyfiken på hur du kan utbilda ditt team har vi på CyberPilot utvecklat en online-plattform för att öka medvetenheten om hur man behandlar personuppgifter säkert, där dina anställda kan genomföra korta, roliga och interaktiva kurser i informationssäkerhet och GDPR. Just nu erbjuder vi en gratis provperiod på tre månader, utan bindningstid eller köptvång. Jag kan varmt rekommenderar att du testar.

Smart CTA_e-book SE