Den som på någon nivå behandlar personuppgifter, i skolan kan det handla om allt från klasslistor och andra registerförteckningar till omdömen och samtycken, är skyldig att följa de grundläggande principer som dataskyddsförordningen vilar på.

Principerna handlar bland annat om att informationen man samlar är korrekt, att man inte ska samla på personuppgifter i onödan och att man ska gallra den information man bär på när den inte längre behövs, allt för att stärka skyddet för den person var uppgifter man bär på.

Grundprinciperna

Man får bara behandla personuppgifter om man uppfyller kraven i lagen.

Finns det stöd i dataskyddsförordningen för de personuppgifter som behandlas? Utan en rättslig grund är behandling inte laglig. Laglig grund kan nås bland annat via samtyckte, avtal, myndighetsutövning eller så kallad rättslig förpliktelse. Rättslig förpliktelse betyder att det finns lagar och regler, som till exempel skollagen, som ger rätt till behandlingen. Datainspektionen: rättslig grund Länk till annan webbplats, öppnas i nytt fönster.

Man får bara samla in personuppgifter för ett angivet syfte.

Redan innan personuppgifter börjar samlas in behöver ändamålen med insamlingen vara klargjorda och personuppgifterna kan sedan inte användas till annat än de är avsedda. Datainspektionen: ändamålsbegränsning Länk till annan webbplats, öppnas i nytt fönster.

Man får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.

Personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet. Man ska aldrig behandla fler personuppgifter än vad som behövs, och de personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha". Datainspektionen: uppgiftsminimering Länk till annan webbplats, öppnas i nytt fönster.

Har man personuppgifter måste man hålla dem korrekta och uppdaterade.

Personuppgifter som behandlas ska vara korrekta och, om nödvändigt, uppdaterade. Om personuppgifterna inte stämmer ska de rättas till eller raderas. Det är därför viktigt att det finns rutiner på plats för att kunna korrigera och ta bort oriktiga personuppgifter, till exempel om en registrerad begär det. Datainspektionen: korrekthet Länk till annan webbplats, öppnas i nytt fönster.

När syftet är uppnått ska uppgifterna tas bort.

Spara personuppgifter bara så länge de behövs för att ändamålet med personuppgiftsbehandlingen ska vara uppnådd. När personuppgifterna inte längre behövs för ändamålet ska de raderas eller avidentifieras. Datainspektionen: lagringsminimering Länk till annan webbplats, öppnas i nytt fönster.

Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.

Personuppgifterna ska skyddas bland annat mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Den som behandlar personuppgifter ska därför vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna. Läs mer om integritet och konfidentialitet hos Datainspektionen: integritet och konfidentialitet Länk till annan webbplats, öppnas i nytt fönster.

Man ska kunna bevisa att man uppfyller alla dessa krav.

Den som behandlar personuppgifter ansvarar för att principerna om personuppgiftsbehandling följs och måste kunna visa på vilket sätt man följer dem. Det finns flera sätt att visa detta, till exempel genom att ha tydlig information till de registrerade, att dokumentera de behandlingar som pågår i organisationen och de överväganden man har gjort samt att ha dokumenterade interna riktlinjer för dataskyddet (en dataskyddspolicy). Datainspektionen: ansvarsskyldighet Länk till annan webbplats, öppnas i nytt fönster.