Vilka är de 7 GDPR-principerna? GDPR bygger på ett antal principer för dataskydd som styr efterlevnaden. Dessa principer beskriver de skyldigheter som organisationer måste följa när de samlar in, behandlar och lagrar en persons personuppgifter.
Principerna för dataskydd liknar dem som finns i det tidigare dataskyddsdirektivet, men de är mer detaljerade för att säkerställa en högre grad av efterlevnad och för att ta hänsyn till den tekniska utvecklingen.
De sju principerna i GDPR ger organisationer en vägledning om hur de bäst kan hantera sina personuppgifter och uppnå överensstämmelse med GDPR.
Om du inte följer principerna kan din organisation riskera betydande böter. I dataskyddsförordningen anges att överträdelser av de grundläggande principerna för behandling av personuppgifter är föremål för den högsta nivån av böter. Detta kan innebära böter på upp till 4 % av din årliga omsättning eller 20 miljoner euro, beroende på vilket belopp som är högst.
De sju principerna för dataskydd som du måste följa när du behandlar personuppgifter är följande:
1. Laglighet, rättvisa och öppenhet
Den första principen är kanske den viktigaste och betonar total öppenhet för alla registrerade inom EU. När uppgifter samlas in måste organisationer vara tydliga med varför de samlas in och hur de ska användas. Om en registrerad begär ytterligare information om behandlingen av dennes uppgifter är organisationerna skyldiga att tillhandahålla denna information i god tid. Insamling, behandling och utlämnande av uppgifter måste ske i enlighet med lagen.
2. Begränsning av syftet
Organisationer måste ha ett specifikt och legitimt skäl för att samla in och behandla personuppgifter. Uppgifterna får endast användas för det angivna ändamålet och får inte behandlas för något annat ändamål, såvida inte den registrerade har gett sitt uttryckliga samtycke. Det finns lite mer flexibilitet när det gäller behandling som utförs för arkivändamål i allmänhetens intresse eller för vetenskapliga, historiska eller statistiska ändamål.
3. Minimering av uppgifter
Enligt GDPR måste uppgifterna vara "adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas". Detta innebär att organisationer endast ska lagra den minsta mängd uppgifter som krävs för deras ändamål. Organisationer kan inte bara samla in personuppgifter på grund av att de kan vara användbara i framtiden. Om de lagrar fler uppgifter än nödvändigt är det sannolikt olagligt.
4. Noggrannhet
Personuppgifterna måste vara korrekta, ändamålsenliga och aktuella. Detta innebär att organisationer regelbundet bör se över den information som finns om enskilda personer och radera eller ändra felaktig information i enlighet med detta. Individer har rätt att begära att felaktiga eller ofullständiga uppgifter raderas eller rättas inom 30 dagar. Denna rationalisering av informationen kommer att bidra till att förbättra efterlevnaden och se till att företagens databaser är korrekta och uppdaterade.
5. Begränsning av lagringsutrymmet
När du inte längre behöver personuppgifterna för det syfte för vilket de samlades in ska de raderas eller förstöras om det inte finns andra skäl att behålla dem. GDPR anger inte hur länge du ska spara personuppgifter. Det är upp till din organisation att avgöra detta, baserat på ändamålen med behandlingen. För att säkerställa efterlevnad bör organisationer ha en översynsprocess för att hantera rensning av databaser. Även om den allmänna regeln är att du inte får behålla personuppgifter för framtida användning finns det undantag för arkivering, forskning eller statistiska ändamål.
6. Integritet och konfidentialitet
Denna princip handlar uteslutande om säkerhet. Din organisation måste se till att alla lämpliga åtgärder vidtas för att skydda de personuppgifter som du har. Det kan handla om skydd mot interna hot, t.ex. obehörig användning, oavsiktlig förlust eller skada, samt externa hot, t.ex. nätfiske, skadlig kod eller stöld. Bristande informationssäkerhet kan äventyra era system och tjänster och orsaka lidande för enskilda personer. Det finns ingen standardmetod som passar alla, men i dataskyddsförordningen anges att organisationer bör ha lämpliga säkerhetsnivåer för att hantera de risker som deras behandling medför.
7. Ansvarsskyldighet
Den sista principen, som är ny i dataskyddsförordningen, innebär att organisationer måste ta ansvar för de uppgifter de innehar och visa att de följer de andra principerna. Detta innebär att organisationerna måste kunna bevisa vilka åtgärder de har vidtagit för att visa att de uppfyller kraven. Detta kan omfatta följande:
- Utvärdering av nuvarande praxis
- Utnämning av ett dataskyddsombud
- Skapa en inventering av personuppgifter
- Inhämtning av lämpligt samtycke
- Utföra konsekvensbedömningar av dataskydd
Genom att följa dessa vägledande principer vid utformning, implementering och drift kan man se till att organisationer följer GDPR.
MetaPrivacy har utformats för att erbjuda bästa praxis för att uppfylla kraven på dataskydd. Kontakta oss för mer information om hur vi kan hjälpa din organisation att förbättra sin struktur för efterlevnad.
ANSVAR: Innehållet och åsikterna i den här bloggen är endast för informationsändamål. De är inte avsedda att utgöra juridisk eller annan professionell rådgivning och bör inte förlitas på eller behandlas som en ersättning för specifik rådgivning som är relevant för särskilda omständigheter, dataskyddslagen eller annan nuvarande eller framtida lagstiftning. MetaCompliance tar inget ansvar för eventuella fel, utelämnanden eller vilseledande uttalanden, eller för eventuella förluster som kan uppstå till följd av att man förlitar sig på material som finns i denna blogg.