Personuppgifter ska samlas in för särskilda ändamål och vara relevanta och inte för omfattande i förhållande till ändamålet.

All behandling av personuppgifter måste följa de grundläggande principerna som anges i dataskyddsförordningen. Principerna gäller för all personuppgiftsbehandling och är ramar för vad som är en tillåten behandling.

Ändamålsbegränsning

En grundläggande princip i dataskyddsförordningen är ändamålsbegränsning.

"Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål."

Vi samlar in personuppgifter på olika sätt. Oftast sker det via blankett, e-tjänst eller e-formulär. Personuppgifterna som samlas in ska ha ett tydligt ändamål. Detta innebär att ändamålet för behandlingen måste bestämmas redan när personuppgifterna samlas in. Du får inte använda personuppgifterna som du har tillgång till för ett nytt ändamål utan att den registrerade informeras om den nya behandlingen.

Uppgiftsminimering

En annan grundläggande princip i dataskyddsförordningen är uppgiftsminimering.

"Personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas."

Detta innebär att du endast får använda de personuppgifter som behövs för den aktuella arbetsuppgiften.

Behörighetsstyrning

Allt detta innebär att vi har ansvar för att behandling av personuppgifter skyddas och att åtkomst till personuppgifter begränsas. Endast behörig personal ska ha tillgång till uppgifterna, du ska endast ha tillgång till det du behöver för att utföra arbetsuppgiften. Oftast säkerställer vi detta genom behörighetsstyrning i de it-system där uppgifterna registreras och lagras. 

Några allmäna råd vid hantering av personuppgifter

• Tänk igenom ändamålet, vilka personuppgifter behövs för att utföra uppgiften?
• Försök minimera uppgifterna. Behövs alltid personnummer? hela namn? telefonnummer?
• Spara inga personuppgifter endast "för säkerhets skull"
• Fundera på om all information du begär in eller lämnar ut verkligen behövs.