Vilka uppgifter får behandlas och enligt vilka villkor?

Svar

Vilken typ och mängd av personuppgifter ett företag/en organisation får behandla beror på varför de behandlas (det juridiska skäl som används) och vad uppgifterna ska användas till. Företaget/organisationen måste följa ett antal centrala regler, däribland följande:

• Personuppgifter måste behandlas på ett lagligt och öppet sätt, vilket säkerställer att behandlingen sker på ett korrekt sätt gentemot de enskilda personer vars personuppgifter behandlas (”laglighet, korrekthet och öppenhet”).
• Det måste finnas specifika ändamål med att behandla uppgifterna och företaget/organisationen måste uppge dessa ändamål för enskilda personer när deras personuppgifter samlas in. Ett företag/en organisation kan inte bara samla in personuppgifter för odefinierade ändamål (”ändamålsbegränsning”).
• Företaget/organisationen får samla in och behandla endast de personuppgifter som behövs för att uppnå  dessa ändamål (”uppgiftsminimering”).
• Företaget/organisationen måste se till att personuppgifterna är korrekta och uppdaterade, med hänsyn till de ändamål som de behandlas för, och korrigera dem om så inte är fallet (”korrekthet”).
• Företaget/organisationen kan inte använda personuppgifterna vidare för andra ändamål som inte är förenliga med det ursprungliga ändamålet.
• Företaget/organisationen måste säkerställa att personuppgifter inte lagras längre tid än nödvändigt för de ändamål de samlades in för (”lagringsminimering”).
• Företaget/organisationen måste installera lämpliga tekniska och organisatoriska skydd som tryggar säkerheten för personuppgifterna, däribland skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med hjälp av lämplig teknik (”integritet och konfidentialitet”).

Exempel

Ert företag/er organisation driver resebyråverksamhet. När ni erhåller era kunders personuppgifter, ska ni förklara på ett klart och tydligt sätt varför ni behöver uppgifterna, hur de ska användas och hur länge ni tänker behålla dem. Behandlingen ska skräddarsys på ett sätt som garanterar att de centrala dataskyddsprinciperna respekteras.

Referenser

• Artikel 5.1; skäl 39
• Artikel 29-arbetsgruppens yttrande 03/2013 om ändamålsbegränsning (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)