GDPR är en relativt komplex förordning som syftar till att reglera behandling av personuppgifter tillhörande EU:s medborgare. GDPR innehåller 99 artiklar och 173 inledande skäl, vilken gör den svår att överblicka. Detta blogginlägg syftar till att öka förståelsen för de allra viktigaste delarna av förordningen – behandlingsbegreppet och GDPR:s principer. Dessa delar genomsyrar allt arbete med GDPR.
Gäller GDPR retroaktivt?
Till att börja med tänkte vi bemöta föreställningen om att förordningen inte gäller på de personuppgifter som samlats in innan förordningen (GDPR) trädde i kraft. Detta påstående är inte korrekt. Förordningen är tillämplig på i princip all behandling av personuppgifter, oberoende av när personuppgifterna samlades in, som sker efter att förordningen började gälla den 25 maj 2018. GDPR omfattar alltså även de personuppgifter som samlats in innan den 25 maj, förutsatt att de fortfarande behandlas av er.
Behandling
Behandling är ett väldigt brett begrepp och omfattar i princip all hantering av personuppgifter.
Exempel på behandlingar är:
- insamling
- lagring
- läsning
- överföring
- spridning
- radering
Det går med andra ord inte att tänka ”jag gör inget med personuppgifterna, jag har bara sparat dem i en pärm” eller ”jag kan bara se personuppgifterna i systemet, jag kan inte göra något med dem”. Det räknas som en behandling av personuppgifter eftersom personuppgifterna kan lagras och läsas. Och när personuppgifter behandlas blir GDPR tillämplig.
Sex grundläggande principer för behandling
GDPR gäller för all behandling av personuppgifter. Efter att ni har konstaterat att det är en behandling av personuppgifter som sker måste ni alltså uppfylla de krav som finns i förordningen. Oavsett om er verksamhet behandlar stor eller liten mängd personuppgifter är det som utgångspunkt bra att ha koll på de principer som genomsyrar förordningen. Bara genom att uppfylla dessa sex principer efterlevs många av kraven i GDPR.
Principerna är:
1. Laglighet, korrekthet & öppenhet
Efter att behandling har konstaterats krävs det att ett lagstöd knyts till behandlingen för att den ska vara laglig. Det finns sex lagliga grunder:
– Samtycke (läs mer här)
– Avtal
– Rättslig förpliktelse
– Skydd för den registrerades intresse
– Allmänt intresse/myndighetsutövning
– Intresseavvägning
Behandlingen ska även vara rimlig, proportionerlig och ske enligt god sed. Behandlingen av personuppgifter ska vara transparent och lättillgänglig. Information ska ges på ett tydligt och klart språk, som ska anpassas efter mottagaren. Ni kan uppfylla den första principen genom att tydligt redogöra för hur ni behandlar personuppgifter i t.ex. en integritetspolicy. Behöver ni hjälp att upprätta en sådan kan ni klicka här. För att behandlingen ska vara korrekt ska behandlingen vara begriplig och stå i rimlig proportion till den nytta som personuppgiftsbehandlingen innebär.
2. Ändamålsbegränsning
Behandlingen ska även ske enligt principen om att ändamålet med behandlingen ska vara berättigat. Principen innebär att varje behandling av personuppgifter ska ha ett specificerat syfte, som ska vara uttryckligen angivet och berättigat. Om ett ändamål inte är berättigat i förhållande till den tillämpliga lagliga grunden så är behandlingen otillåten.
3. Uppgiftsminimering
Ni får enbart behandla personuppgifter som är relevanta för ändamålet och i förhållande till den lagliga grunden för er behandling. Det innebär att ni inte ska behandla de uppgifter som ni inte egentligen behöver i er verksamhet. Tänk efter en andra gång, behöver ni t.ex. hela personnumret för att identifiera personen eller räcker det med födelsedatum?
4. Lagringsminimering
Personuppgifter ska inte behandlas längre än vad som är nödvändigt för ändamålet. Det är bland annat denna princip som gör att man inte längre kan säga ”vi sparar uppgifterna för att de kan vara bra att ha i framtiden”. Det är därför viktigt att ha gallringsrutiner på plats på arbetsplatsen för att se till att uppgifter inte sparas längre än vad ändamålet och den lagliga grunden kräver.
5. Integritet & konfidentialitet
Denna princip innebär att personuppgifterna ska behandlas på ett säkert sätt. Det är viktigt att personuppgifterna inte sprids till obehöriga eller blir utsatta för otillåten behandling. För att förhindra detta ska den personuppgiftsansvarige se till att använda lämpliga tekniska och organisatoriska åtgärder.
6. Ansvarsskyldighet
Ansvarsskyldigheten avser den personuppgiftsansvarige som ska ansvara för att dessa principer följs i verksamheten. Det är även den personuppgiftsansvarige som har bevisbördan vid en eventuell tvist, därför kan det vara bra att samla in ett skriftligt bevis på t.ex. en kundklubbsmedlems samtycke.
Efterlever ni dessa sex principer är en stor del av ert GDPR-arbete klart. Det är därför en stor fördel att ha koll på dessa!
Register över behandling
För att påvisa att GDPR efterlevs och för att uppfylla principerna ovan bör både den personuppgiftsansvariga och personuppgiftsbiträden föra register över den behandling som de ansvarar över. Nästan alla företag är dessutom skyldiga att föra ett register över sin behandling. GDPR Hero är en registerförteckning som hjälper er att kartlägga, hantera och dokumentera alla personuppgifter ni behandlar enligt förordningens alla regler och principer. Boka en kostnadsfri demo av GDPR Hero idag!
Vill ni veta mer om registerförteckningar, läs vårt tidigare blogginlägg ”Varför är det så viktigt med ett register över personuppgiftsbehandlingar?” här.
