Din guide till GDPR:s 7 principer

Vilka är GDPR:s grundläggande principer?

 

GDPR kan kännas som en djungel. Men i grunden handlar det om 7 enkla principer som fungerar som spelregler för hur företag får hantera personuppgifter. Följer du dem minskar du risken för misstag, onödigt krångel och i värsta fall tillsyn eller sanktionsavgifter.

Du kan tänka på principerna som en checklista: varför samlar vi in uppgifter, hur mycket behöver vi, hur länge sparar vi, och hur skyddar vi dem?

Snabb checklista

 

Letar du ett speciellt avsnitt?
Här finns det snabblänkar till de olika avsnitten i artikeln

Varför behöver företag hålla koll på GDPR:s grundläggande principer?

Principerna är grunden till allt i GDPR. De påverkar hur ni bygger webbformulär, samlar in leads, jobbar i CRM, hanterar kundärenden och lagrar personaluppgifter. Har ni koll på principerna blir det lättare att:

  • minska riskerna för incidenter
  • undvika att spara “för mycket”
  • skapa förtroende hos kunder och anställda

 

Vad menas med “grundläggande principer” i GDPR?

De grundläggande principerna är GDPR:s “spelregler” för hur personuppgifter får hanteras i praktiken. De står i artikel 5 i GDPR, som kan ses som en sammanfattning av vad lagen förväntar sig att ett företag ska följa – oavsett bransch eller storlek. Artikel 5 säger i korthet att personuppgifter ska hanteras lagligt och öppet, samlas in för tydliga syften, inte vara fler än nödvändigt, hållas korrekta, sparas inte längre än nödvändigt och skyddas med rätt säkerhet. Den sista principen – ansvarsskyldighet – innebär dessutom att ni inte bara ska göra rätt, utan också kunna visa att ni gör det (t.ex. med enkla rutiner och dokumentation).

Nedan går vi igenom de sju principerna en och en – vad de betyder, hur de brukar se ut i vardagen och vad ni kan göra för att undvika de vanligaste misstagen.

Laglighet, korrekthet och öppenhet

Kort sagt: Du måste ha en giltig anledning att hantera personuppgifter, göra det på ett schysst sätt och vara tydlig med vad du gör.

I praktiken ska företag:

  • Ha en tydlig rättslig grund (till exempel avtal, rättslig förpliktelse, berättigat intresse eller samtycke).
  • Berätta för kunden eller användaren vad du samlar in och varför (integritetspolicy, checkout-info, formulärtexter).
  • Undvik att gömma viktig info i långa texter.

Exempel:
Du samlar in e-post för orderbekräftelse. Då ska det framgå tydligt att e-posten används för orderhantering. Vill du även skicka nyhetsbrev krävs en separat bedömning och ofta ett tydligt val.

Ändamålsbegränsning

Kort sagt: Samla in uppgifter för ett tydligt syfte och använd dem inte till något helt annat senare.

Fråga att ställa internt:
Varför samlar vi in just den här uppgiften?

Exempel:
Du samlar in telefonnummer för leveransavisering. Att senare använda samma telefonnummer för säljsamtal kan vara ett nytt syfte som kräver ny bedömning, ny information och ibland en annan rättslig grund.

Uppgiftsminimering

Kort sagt: Samla inte in mer än du behöver.

Vanlig fälla:
“Det kan vara bra att ha” räcker inte som skäl.

Exempel:
Ett kontaktformulär behöver ofta bara namn, e-post och meddelande. Personnummer, födelsedatum eller hemadress ska bara finnas om det är nödvändigt för just den tjänsten.

Riktighet

Kort sagt: Uppgifterna ska vara korrekta och uppdaterade när det behövs.

I praktiken:

  • Erbjud ett enkelt sätt för kunder att uppdatera sina uppgifter.
  • Se till att fel inte sprids mellan system (till exempel CRM, fakturering och supportverktyg).

Exempel:
Om fel adress hamnar i fakturasystemet kan det leda till att uppgifter skickas till fel person. Då är det både en riktighetsfråga och kan bli en säkerhetsincident.

Lagringsbegränsning

Kort sagt: Spara inte personuppgifter längre än du behöver.

Enkelt sätt att komma igång:
Sätt en lagringstid per typ av uppgift:

  • Kundärenden: gallras X månader efter avslutat ärende
  • Fakturaunderlag: sparas enligt bokföringskrav
  • Jobbansökningar: gallras efter en viss tid om du inte har skäl att spara längre

Exempel:
“Vi sparar allt för säkerhets skull” är en klassiker som ofta blir fel, särskilt om ingen gallring sker i praktiken.

Integritet och konfidentialitet (säkerhet)

Kort sagt: Skydda uppgifterna så att de inte hamnar fel, ändras, försvinner eller blir åtkomliga för obehöriga.

Det här brukar vara “bra nog” för många små och medelstora företag:

  • Tvåfaktorsinloggning där det går
  • Behörigheter: alla ska inte se allt
  • Rutiner för när någon slutar (stäng konton direkt)
  • Kryptering och säkra leverantörer
  • En plan om något går fel (incidentprocess)

Exempel:
Ett felutskick till fel mottagare eller en lönelista som delas för brett är typiska incidenter som går att förebygga med rutiner och behörighetsstyrning.

Ansvarsskyldighet

Kort sagt: Det räcker inte att följa GDPR, du ska kunna visa att du gör det.

Tänk: bevis, inte bara ambition.
Det kan vara så enkelt som:

  • En lista över vilka system ni har och vilka uppgifter som finns där
  • En enkel registerförteckning (artikel 30)
  • Grundmallar: integritetspolicy, personuppgiftsbiträdesavtal, rutin för gallring, rutin för incidenter
  • Dokumenterade beslut: varför ni valt en viss rättslig grund

Exempel:
Om IMY frågar “varför sparar ni detta och hur länge?” ska ni kunna visa ett tydligt svar och gärna en rutin som stödjer det.

Snabb checklista:

  1. Lista era system (webb, CRM, support, HR) där personuppgifter finns.
  2. Skriv syftet för varje typ av uppgift (varför samlar vi in?). 
  3. Välj rättslig grund för varje syfte. 
  4. Rensa: ta bort uppgifter ni inte behöver (uppgiftsminimering). 
  5. Bestäm lagringstid + hur gallring ska ske (kalenderpåminnelse/rutin). 
  6. Säkerställ bas-säkerhet: 2FA, behörigheter, avsluta-konto-rutin. 
  7. Dokumentera kort: “så här gör vi” (ansvarsskyldighet). 

    Exempel:
    “Vi samlar in e-post via offertformulär för att kunna återkoppla och lämna offert (avtal/åtgärd före avtal). Vi sparar leadet i CRM i 12 månader om det inte blir affär. Åtkomst har bara säljteamet. Vi informerar i formuläret och länkar till integritetspolicyn.”

FAQ: Grundläggande principer i GDPR

Vad är artikel 5 i GDPR?

Artikel 5 är den del av GDPR som listar de grundläggande principerna för hur personuppgifter får behandlas. Den fungerar som GDPR:s “spelregler” och ligger bakom många andra krav i lagen.

Vilka är de 7 grundläggande principerna i GDPR?
  1. Laglighet, korrekthet och öppenhet
  2. Ändamålsbegränsning
  3. Uppgiftsminimering
  4. Riktighet
  5. Lagringsbegränsning
  6. Integritet och konfidentialitet (säkerhet)
  7. Ansvarsskyldighet
Gäller GDPR:s principer alla företag?

Ja. Principerna gäller alla som behandlar personuppgifter, oavsett företagets storlek. Skillnaden är ofta hur omfattande rutiner och dokumentation behöver vara.

Vad räknas som personuppgift?

All information som direkt eller indirekt kan kopplas till en levande person, till exempel namn, e-post, telefonnummer, IP-adress, kundnummer eller uppgifter i ett kundärende.

Måste vi följa alla 7 principer samtidigt?

Ja. Principerna hänger ihop och gäller alltid när ni behandlar personuppgifter, i webbformulär, CRM, nyhetsbrev, HR och kundservice.

Vad betyder “ansvarsskyldighet” i GDPR?

Det betyder att ni inte bara ska följa GDPR, ni ska också kunna visa att ni gör det. Det kan vara en enkel registerförteckning, rutiner för gallring och säkerhet, samt dokumenterade beslut om rättslig grund.

 

Vad behöver vi dokumentera för att uppfylla GDPR?

Miniminivån brukar vara: vilka personuppgifter ni har, varför ni har dem (syfte), vilken rättslig grund ni stödjer er på, hur länge ni sparar dem, och hur ni skyddar dem (t.ex. behörigheter och 2FA).

Hur bestämmer vi hur länge vi får spara personuppgifter?

Utgå från syftet: spara bara så länge det behövs för ändamålet. Sätt olika lagringstider för t.ex. leads, kundärenden och bokföringsunderlag (som kan ha lagkrav).

Vad är uppgiftsminimering och hur gör man?

Uppgiftsminimering betyder att ni bara samlar in det ni behöver.

I praktiken: ta bort onödiga formulärfält och sluta spara “bra att ha”-uppgifter utan tydligt syfte.

Är “berättigat intresse” alltid okej för marknadsföring?

Nej, inte alltid. Det kräver en intresseavvägning och tydlig information. I vissa fall är samtycke ett bättre eller nödvändigt alternativ, särskilt beroende på kanal och situation.

Vad är vanligaste GDPR-misstagen för företag?

Att samla in för mycket, spara för länge, ha otydliga syften, ge för bred åtkomst i system och sakna enkla rutiner/dokumentation som visar att man jobbar enligt principerna.

Vad räknas som en personuppgiftsincident?

När personuppgifter hamnar fel, blir åtkomliga för obehöriga, ändras oavsiktligt eller försvinner, till exempel felutskick, delade dokument med öppen länk eller kapade konton.

Mer information

Vill du läsa mer (eller kunna peka på “officiellt stöd” internt)?
Här är de källor jag själv tycker är mest användbara:

IMY – vägledning om GDPR

En bra startpunkt när du vill förstå GDPR 

Integritetsskyddsmyndigheten | IMY

IMY – Dataskyddsförordningen i fulltext

Artikel 5

Artikel 30

EU:s dataskyddsregler (GDPR)

Grundprinciper

 

Relaterade länkar:

Intresseavvägning (berättigat intresse) i GDPR:

Vår artikel där vi föklarar hur företagare kan använda intresseavvägning

Känsliga personuppgifter: När får ni behandla känsliga personuppgifter? | IMY

Integritetspolicy: Vad är en integritetspolicy?

Vill ni få ordning på era GDPR-rutiner?

Om ni känner att “vi borde ha bättre koll” – så är ni inte ensamma. Det vanligaste är inte att företag gör allt fel, utan att rutinerna saknar struktur: varför ni sparar uppgifter, hur länge, och hur ni kan visa att ni tänkt igenom det.

Vill du bolla ert upplägg? Hör av dig så tar vi en första genomgång och pekar ut de snabbaste förbättringarna att börja med.

Henrik Wahlstedt

070-511 18 00
henrik.wahlstedt@internetmedia.se
 
Upptäck hur vi kan hjälpa ditt företag att växa!
Henrik Wahlstedt