De sju GDPR-principerna utgör ett ramverk för att se till att dataskyddet respekteras, upprätthålls och uppfyller GDPR-kraven. General Data Protection Regulation, eller GDPR, kom in i näringslivets lexikon med ett dån redan 2016. Sedan dess har GDPR stört hur företag världen över hanterar konsumenternas integritet. Att förstå hur man ska följa GDPR har ofta känts besvärligt. Medvetenheten om konsumenternas integritet innebär dock att företagen måste ta integriteten på allvar.
I Ciscos Benchmark-studie om dataintegritet 2023 konstateras att 94 % av konsumenterna endast skulle köpa från ett företag om deras uppgifter skyddas på lämpligt sätt.
För att hjälpa dig att följa GDPR förklarar MetaCompliance de sju vägledande principerna bakom GDPR och vilka bästa metoder som hjälper ett företag att uppfylla detta viktiga dataskyddsramverk.
Vilka är de 7 GDPR-principerna för dataskydd?
GDPR förknippas vanligtvis med EU. Den brittiska GDPR följer dock liknande principer och innehåller sju principer för dataskydd som återspeglas i artikel 5 i förordningen. Principerna utgör ramen för en god utformning av integritetsskydd och säkerställer att integritetsskyddet är möjligt att uppnå och upprätthållas i allmänhetens intresse. De sju principerna för dataskydd enligt GDPR är följande:
Laglighet, rättvisa och öppenhet
GDPR fastställer lagliga grunder för insamling och behandling av personuppgifter, inklusive skydd. Den lagliga grunden för behandling av uppgifter omfattar följande:
- Uttryckligt samtycke
- Kontraktuellt behov
- Varje rättslig skyldighet att skydda en enskild person.
- En offentlig uppgift i allmänhetens intresse
- Legitimt intresse
Den vägledande principen om "laglighet, rättvisa och öppenhet" säkerställer att behandlingen av uppgifter sker på ett öppet sätt och enligt regelverket för laglig behandling. Rättvisa och laglighet är därför två sidor av samma mynt när det gäller tillämpningen av dataskyddsförordningen.
Syfte Begränsning
Detta är en väsentlig aspekt av privacy by design and default, som är det underliggande ramverket i dataskyddsförordningen. Den anger att en berörd organisation endast får samla in de uppgifter som den behöver för att utföra uppgiften. I artikel 5 i GDPR förklaras att uppgifter ska "samlas in för specificerade, uttryckliga och legitima ändamål".
För att uppnå en ändamålsbegränsning bör ett företag kunna motivera skälen till att samla in uppgifter. Kunderna måste informeras om skälen till insamlingen av uppgifter med hjälp av sekretesspolicyer. Om ditt företag sedan fortsätter att använda insamlade uppgifter i andra syften än de du har beskrivit, bryter du mot principerna i GDPR.
Minimering av data
Uppgiftsminimering är relaterad till begränsning av syftet men avser uppgifter specifikt. Uppgiftsminimering innebär att endast de uppgifter samlas in som behövs för att utföra uppgiften. Om du t.ex. behöver namn och adress, men födelsedatum inte är nödvändigt för att genomföra en transaktion, se till att du endast tar med namn och adress. Uppgiftsminimering är en viktig säkerhetsåtgärd eftersom den minskar risken för en enskild person om uppgifter avslöjas.
Noggrannhet
Datanoggrannhet kan vara en av de mer komplicerade principerna att uppfylla. GDPR förväntar sig dock att du vidtar "alla rimliga åtgärder ... för att se till att personuppgifter som är felaktiga, med hänsyn till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål".
Begränsning av lagringen
Hur länge du lagrar uppgifter är en annan viktig riktlinje som ingår i GDPR:s sju principer för dataskydd. Om du väljer att lagra uppgifter måste du ha ett välgrundat skäl till att göra det. En idealisk utgångspunkt är att inte lagra uppgifter om du inte behöver det. Men om du måste behålla kopior av uppgifter ska du upprätta en policy för lagring av uppgifter och tillämpa den. Det är också viktigt att se till att uppgifterna skyddas med hjälp av lämpliga tekniska och organisatoriska säkerhetsåtgärder.
Integritet och konfidentialitet
Integritet och konfidentialitet för personuppgifter är avgörande för att säkerställa att uppgifterna skyddas. GDPR nämner att man ska använda lämpliga säkerhetsåtgärder för att skydda uppgifter mot oavsiktlig förlust, förstörelse eller skada. Använd de bästa tillgängliga säkerhetsverktygen för att säkra data under transport och lagring, men stöd även detta med utbildning i säkerhetsmedvetenhet och phishing-simuleringar för att minska risken för exponerade data.
Ansvarsskyldighet
Ansvarsskyldighet är en viktig aspekt av modern respekt för och skydd av privatlivet. I samband med dataskyddsförordningen avser ansvarighet en organisations användning av lämpliga tekniska och organisatoriska åtgärder och förmågan att visa upp dessa åtgärder på begäran.
Sex bästa metoder för att uppnå de sju GDPR-principerna
Organisationer kan vidta särskilda åtgärder för att följa de sju GDPR-principerna. Sex bästa metoder för att se till att dataskyddet respekteras, upprätthålls och uppfyller GDPR-kraven är bl.a. följande:
- Hantering av sekretessens livscykel: GDPR-efterlevnad kan vara ett komplext område som omfattar hantering av tillgångar, tredje parter och dataskyddsåtgärder. Ett system för hantering av sekretesslivscykel(PLMS) är en centraliserad portal som erbjuder ett sätt att automatisera de processer som ingår i databehandlingen. Ett PLMS gör det också möjligt för en organisation att generera rapporter för att visa på efterlevnad.
- Medvetenhet om integritet och reglering: När du genomför utbildning i säkerhetsmedvetenhet bör du se till att du inkluderar moduler om personalens roll i att upprätthålla GDPR-överensstämmelse. Dessa moduler kommer att utbilda de anställda om dataskydd, olaglig behandling, e-post- och lösenordshygien och allmän säkerhetsmedvetenhet, till exempel att använda robusta inloggningsuppgifter.
- Privacy by Design and Default: Utforma dina tjänster och system så att de samlar in det minimum av uppgifter som krävs för att genomföra en transaktion. Skapa användarupplevelser för datainsamling som inkluderar lättåtkomliga och lättlästa sekretesspolicyer och intuitiva samtyckesmodeller.
- Integritetspolicy: redogör för vilka uppgifter du samlar in och varför du samlar in dem, dela med dig av information om databehandlingsaktiviteter och din policy för lagring av uppgifter.
- Utforma för noggrannhet: Använd system som kan kontrollera att de uppgifter du behöver är korrekta, till exempel genom att använda verifieringstjänster för att kontrollera att adresserna är korrekta. Ha en plan för att hantera de registrerades förfrågningar om ändring, radering, arkivering av uppgifter eller ändringar av uppgifter som de anser behöver uppdateras eller kompletteras.
- Säkerhetsåtgärder: Använd robust kryptering och autentisering för att skydda data i transit och i vila (lagring). Anonymisering eller pseudonymisering av uppgifter är till hjälp under vissa omständigheter.