Verksamhet
Dataskydd Det här gäller enligt dataskyddsförordningen Inbyggt dataskydd och dataskydd som standard Dataskydd som standardDataskydd som standard
Dataskydd som standard innebär också att endast data som är nödvändig för det specifika ändamålet med behandlingen samlas in och att det finns en rättslig grund för varje personuppgiftsbehandling.
Varför behövs dataskydd som standard?
Dataskydd som standard innebär att personuppgiftsansvariga ska arbeta aktivt med kraven i dataskyddsförordningen genom att se till att standardinställningarna för en produkt, ett system eller en tjänst är konfigurerade så att endast behandlingar som är absolut nödvändiga för att uppnå ändamålet utförs. Ni ska utgå från användarens perspektiv och det ska vara lätt för användaren att göra rätt och svårt att göra fel. Den grundläggande principen om uppgiftsminimering är en viktig utgångspunkt vid arbetet med dataskydd som standard. Det betyder att personuppgifterna ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Hur ska ni arbeta med dataskydd som standard?
Nedan är några exempel på vad som förväntas av er som verksamhet när ni implementerar dataskydd som standard för att begränsa riskerna med er personuppgiftbehandling.
- Analysera ert behov
Analysera och definiera behovet av dataskydd innan behandlingen påbörjas. Utgå från att endast sådan behandling som är absolut nödvändig för att uppnå ändamålet får utföras som standard. - Utgå från användarnas perspektiv
Utgå alltid från användarnas perspektiv och respektera deras integritet. Se till att ge dem kontrollen över sina personuppgifter genom att se till att de får information och ges möjlighet att utöva sina rättigheter enligt dataskyddsförordningen. Läs mer om de registrerades rättligheter - Genomför en riskanalys
Vid utformningen av en produkt, ett system eller en tjänst ska ni ta hänsyn till de ökade riskerna med personuppgiftsbehandlingen. En riskanalys ska bland annat säkerställa att det inte finns funktioner som medför en personuppgiftsbehandling som saknar rättslig grund eller som inte är förenlig med ändamålet för behandlingen. - Dokumentera er analys
Dokumentera resultatet av er analys i till exempel en policy eller instruktion. Dokumentera även de tekniska och organisatoriska åtgärder som har genomförts. Dessa dokument ska uppdateras vid behov. - Instruktioner
Utvecklare och andra berörda ska ges tydliga instruktioner och utbildning om när, var och hur dataskydd som standard ska implementeras. - Organisatoriska åtgärder
Utforma även de organisatoriska åtgärderna så att endast så få personuppgifter som krävs för de särskilda åtgärderna behandlas. Tänk särskilt på det när verksamhetens medarbetare har olika arbetsuppgifter och olika behov av tillgång till personuppgifter. Alla medarbetare behöver i regel inte ha tillgång till alla personuppgifter som verksamheten behandlar. - Lagringsminimering
Personuppgifter som samlas in ska inte lagras längre än vad som är nödvändigt för de ändamål för vilka de behandlas. Det följer av dataskyddsförordningens grundläggande princip om lagringsminimering. Att ha inbyggda gallringstider i verksamhetens system är exempel på en åtgärd som underlättar arbetet med att säkerställa denna princip.