Inbyggt dataskydd och dataskydd som standard är ett krav för alla personuppgiftsansvariga, och gäller alla företag oavsett storlek.
Genomförandet av inbyggt dataskydd och dataskydd som standard varierar beroende på behandlingen i det enskilda fallet. Oavsett storlek kan genomförandet av inbyggt dataskydd och dataskydd som standard gynna både den personuppgiftsansvariga och den registrerade.
Dataskydd som standard
Dataskydd som standard innebär att inställningarna för en produkt, ett system eller en tjänst ska vara dataskyddsvänliga. Till exempel använder man inte kryssrutor som redan är ifyllda, så kallade opt-ins, för samtycke eller där man godkänner att personuppgifter delas med en tredje part.
Dataskydd som standard innebär också att endast data som är nödvändig för det specifika ändamålet med behandlingen samlas in och att det finns en rättslig grund för varje personuppgiftsbehandling.
Varför behövs dataskydd som standard?
Dataskydd som standard innebär att personuppgiftsansvariga ska arbeta aktivt med kraven i dataskyddsförordningen genom att se till att standardinställningarna för en produkt, ett system eller en tjänst är konfigurerade så att endast behandlingar som är absolut nödvändiga för att uppnå ändamålet utförs. Ni ska utgå från användarens perspektiv och det ska vara lätt för användaren att göra rätt och svårt att göra fel. Den grundläggande principen om uppgiftsminimering är en viktig utgångspunkt vid arbetet med dataskydd som standard. Det betyder att personuppgifterna ska vara relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
Hur ska ni arbeta med dataskydd som standard?
Nedan är några exempel på vad som förväntas av er som verksamhet när ni implementerar dataskydd som standard för att begränsa riskerna med er personuppgiftbehandling.
Analysera och definiera behovet av dataskydd innan behandlingen påbörjas. Utgå från att endast sådan behandling som är absolut nödvändig för att uppnå ändamålet får utföras som standard.
Utgå alltid från användarnas perspektiv och respektera deras integritet. Se till att ge dem kontrollen över sina personuppgifter genom att se till att de får information och ges möjlighet att utöva sina rättigheter enligt dataskyddsförordningen.
Vid utformningen av en produkt, ett system eller en tjänst ska ni ta hänsyn till de ökade riskerna med personuppgiftsbehandlingen. En riskanalys ska bland annat säkerställa att det inte finns funktioner som medför en personuppgiftsbehandling som saknar rättslig grund eller som inte är förenlig med ändamålet för behandlingen.
Dokumentera resultatet av er analys i till exempel en policy eller instruktion. Dokumentera även de tekniska och organisatoriska åtgärder som har genomförts. Dessa dokument ska uppdateras vid behov.
Utvecklare och andra berörda ska ges tydliga instruktioner och utbildning om när, var och hur dataskydd som standard ska implementeras.
Utforma även de organisatoriska åtgärderna så att endast så få personuppgifter som krävs för de särskilda åtgärderna behandlas. Tänk särskilt på det när verksamhetens medarbetare har olika arbetsuppgifter och olika behov av tillgång till personuppgifter. Alla medarbetare behöver i regel inte ha tillgång till alla personuppgifter som verksamheten behandlar.
Personuppgifter som samlas in ska inte lagras längre än vad som är nödvändigt för de ändamål för vilka de behandlas. Det följer av dataskyddsförordningens grundläggande princip om lagringsminimering. Att ha inbyggda gallringstider i verksamhetens system är exempel på en åtgärd som underlättar arbetet med att säkerställa denna princip.
Inbyggt dataskydd
Personuppgiftsansvariga är enligt dataskyddsförordningen skyldiga att genomföra lämpliga tekniska och organisatoriska åtgärder för den personuppgiftsbehandling som verksamheten utför.
Inbyggt dataskydd innebär att den personuppgiftsansvariga tar hänsyn till integritetsskyddsreglerna redan när it-system och rutiner utformas. Detta bidrar till ett bättre och mer kostnadseffektivt dataskydd för de registrerade.
Varför behövs inbyggt dataskydd?
Lämpliga säkerhetsåtgärder ska skydda de registrerades rättigheter och säkerställa att skyddet av deras personuppgifter byggs in i behandlingen. För att betraktas som lämpliga bör åtgärderna vara utformade så att de uppnår det avsedda syftet. Det betyder att de måste uppfylla principerna för dataskydd, till exempel principerna om lagrings- och uppgiftsminimering, på ett effektivt sätt. En teknisk eller organisatorisk åtgärd kan vara allt från användning av avancerade tekniska lösningar till grundläggande utbildning för medarbetarna. Vilka åtgärder som är lämpliga beror på sammanhanget och de risker som finns med den aktuella behandlingen. Ni behöver också ta hänsyn till behandlingens art, omfattning och ändamål vid lämplighetsbedömningen.
Hur ska ni arbeta med inbyggt dataskydd?
Nedan är några exempel på vad som kan förväntas av er som verksamhet när ni implementerar inbyggt dataskydd för att begränsa riskerna med er personuppgiftbehandling.
Analysera era skyldigheter av inbyggt dataskydd, det vill säga hur ni ska fånga upp behov och krav tidigt i processen så att den personliga integriteten blir en naturlig del av slutresultatet.
Identifiera riskerna som en överträdelse av principerna innebär för de registrerades rättigheter. Fastställ riskernas sannolikhet och allvarlighetsgrad så att rätt åtgärder vitas för att hantera dem på ett effektivt sätt.
Varje åtgärd som genomförs bör ge de avsedda resultaten för den personuppgiftsbehandling som planeras. Säkerställ att de kontroller som implementeras har önskad effekt och verkan.
Dokumentera resultatet av er analys i till exempel en policy eller instruktion. Dokumentera även de tekniska och organisatoriska åtgärder som har genomförts. Dessa dokument ska uppdateras vid behov.
Ge utvecklare och andra berörda tydliga instruktioner och utbildning om när, var och hur inbyggt dataskydd ska implementeras.
Verifiera effekten av de implementerade åtgärderna. Utgå från mätbara värden som visar hur ni ligger till i förhållande till era uppsatta dataskyddsmål.
Bevaka kontinuerligt aktuella framsteg inom tekniker som finns på marknaden. Detta är ett bra stöd när ni ska fastställa lämpliga tekniska och organisatoriska åtgärder. Det kan också hjälpa er att identifiera både risker och möjligheter med en viss ny teknik.
Använd befintliga och erkända ramar, standarder, certifieringar, uppförandekoder med mera. De kan vara ett bra stöd när det gäller att identifiera den senaste tekniken inom ett visst användningsområde.
Hänsyn får tas till kostnaderna för att genomföra lämpliga åtgärder när man ska uppnå inbyggt dataskydd. Säkerställ att inte spendera oproportionerligt mycket resurser om mindre resurskrävande sätt finns för att uppnå ett effektivt skydd. Kostnader får dock inte vara ett hinder från att uppfylla kraven på lämpliga åtgärder.
• Säkerställ att inte fler personuppgifter samlas in eller på annat sätt behandlas än vad som är nödvändigt för ändamålet med behandlingen. • Se också till att personuppgifter inte i onödan exponeras eller sprids. • Spara dem inte längre än nödvändigt.