Lyssna på sidan Lyssna

Dela sidan på sociala medier

Kontaktinformation

Grundprinciper

Den som på någon nivå behandlar personuppgifter, i skolan kan det handla om allt från klasslistor och andra registerförteckningar till omdömen och samtycken, är skyldig att att följa de grundläggande principer som dataskyddsförordningen vilar på. Principerna handlar bland annat om att informationen man samlar är korrekt, att man inte ska samla på personuppgifter i onödan och att man ska gallra den information man bär på när den inte längre behövs, allt för att stärka skyddet för den person var uppgifter man bär på.

Grundprinciperna lyder:

Man får bara behandla personuppgifter om man uppfyller kraven i lagen.

Finns det stöd i dataskyddsförordningen för de personuppgifter som behandlas? Utan en rättslig grund är behandling inte laglig. Laglig grund kan nås bland annat via samtyckte, avtal, myndighetsutövning eller så kallad rättslig förpliktelse. Rättslig förpliktelse betyder att det finns lagar och regler, som till exempel skollagen, som ger rätt till behandlingen. Datainspektionen: rättslig grundlänk till annan webbplats, öppnas i nytt fönster

Man får bara samla in personuppgifter för ett angivet syfte.

Redan innan personuppgifter börjar samlas in behöver ändamålen med insamlingen vara klargjorda och personuppgifterna kan sedan inte användas till annat än de är avsedda. Datainspektionen: ändamålsbegränsninglänk till annan webbplats, öppnas i nytt fönster

Man får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Man ska aldrig behandla fler personuppgifter än vad som behövs, och de personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha". Datainspektionen: uppgiftsminimeringlänk till annan webbplats, öppnas i nytt fönster

Har man personuppgifter måste man hålla dem korrekta och uppdaterade.

Personuppgifter som behandlas ska vara korrekta och, om nödvändigt, uppdaterade. Om personuppgifterna inte stämmer ska de rättas till eller raderas. Det är därför viktigt att det finns rutiner på plats för att kunna korrigera och ta bort oriktiga personuppgifter, till exempel om en registrerad begär det. Datainspektionen: korrekthetlänk till annan webbplats, öppnas i nytt fönster

När syftet är uppnått ska uppgifterna tas bort.

Spara personuppgifter bara så länge de behövs för att ändamålet med personuppgiftsbehandlingen ska vara uppnådd. När personuppgifterna inte längre behövs för ändamålet ska de raderas eller avidentifieras. Datainspektionen: lagringsminimeringlänk till annan webbplats, öppnas i nytt fönster

Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Läs mer om integritet och konfidentialitet hos Datainspektionen: integritet och konfidentialitetlänk till annan webbplats, öppnas i nytt fönster

Man ska kunna bevisa att man uppfyller alla dessa krav.

Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade, att dokumentera de behandlingar som pågår i organisationen och de överväganden man har gjort samt att ha dokumenterade interna riktlinjer för dataskyddet (en dataskyddspolicy). Datainspektionen: ansvarsskyldighetlänk till annan webbplats, öppnas i nytt fönster 

Sidan uppdaterad 2019-03-14