Principer

All personuppgiftsbehandling ska vara laglig. Det innebär först och främst att det ska finnas en rättslig grund för all personuppgiftsbehandling som sker. I dataskyddsförordningen finns sex rättsliga grunder, varav en alltid ska vara uppfylld för varje personuppgiftsbehandling som sker i Helsingborgs stad. Läs mer om de rättsliga grunderna här.

Att behandlingen ska vara laglig innebär också att övriga principer och bestämmelser i dataskyddslagstiftningen och annan lagstiftning ska följas.

All personuppgiftsbehandling ska vara korrekt. Det innebär att den ska vara rättvis, skälig, rimlig och proportionerlig i förhållande till de registrerade.

Verksamheten ska se till att den personuppgiftsbehandling som sker står i rimlig proportion till den nytta som den innebär och hänsyn ska tas till vad den registrerade kan förvänta sig. Personuppgiftsbehandlingen ska vara förståelig och begriplig för de registrerade och inte ske på dolda eller manipulerande sätt.

Det ska vara klart och tydligt för de registrerade hur verksamheten behandlar personuppgifter. De registrerade ska få reda på om och varför personuppgifter samlas in och hur personuppgifterna sedan används. De registrerade ska också få information om sina rättigheter, så som rätten att begära registerutdrag eller få uppgifter rättade. Läs mer här om de de registrerades rättigheter.

Personuppgifter får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål (syften). Ändamålet med en personuppgiftsbehandling ska stå klart innan personuppgifterna samlas in och får inte vara allt för opreciserat eller omfattande. Ändamålen sätter ramarna för hur personuppgifterna får behandlas. Personuppgifter får efter insamling inte behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet.

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet med behandlingen. Det innebär att verksamheten inte ska behandla fler personuppgifter än vad som behövs och att de personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det alltså inte är tillåtet att samla in personuppgifter enbart för att de kan vara ”bra att ha” i framtiden.

De personuppgifter som behandlas ska vara riktiga och vid behov uppdaterade.

Personuppgifter ska bara sparas så länge som uppgifterna behövs med hänsyn till ändamålet med personuppgiftsbehandlingen. Radering och arkivering ska ske i enlighet med den dokumenthanteringsplan som gäller för respektive nämnd.

Det kan vara tillåtet att lagra personuppgifter, även efter att det ursprungliga ändamålet med personuppgiftsbehandlingen slutar att vara aktuellt. Detta gäller om det sker för till exempel arkivändamål av allmänt intresse eller statistiska ändamål

Verksamheten ska se till att de personuppgifter som behandlas skyddas på ett bra sätt genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Verksamheten måste skydda personuppgifterna mot till exempel obehörig åtkomst, förstöring eller förlust.

Exempel på skyddsåtgärder är brandväggar, kryptering, pseudonymisering, säkerhetskopiering och anti-virus-skydd. Det kan också handla om att det upprättas interna rutiner, instruktioner och riktlinjer för den personuppgiftsbehandling som genomförs.

Den personuppgiftsansvarige ska se till att ovanstående principer följs och ska också kunna visa att de följs samt på vilket sätt.