Uppgiftsminimering

Dataskyddsförordningen (GDPR) är en EU-förordning och gäller som svensk lag. Förordningen innehåller 99 artiklar och gäller lika över hela EU.

Utgångspunkten i GDPR är att endast ett minimum av personuppgifter får samlas in och behandlas. Den här guiden syftar till vara till stöd för arbetet med minimering av personuppgifter. 

Lagra endast de personuppgifter som är nödvändiga att lagra för att uppfylla syftet och för att uppfylla myndigheters krav på lagring. Upprätta en arkivplan där ni talar om när ni fysiskt och/eller digitalt sparar material som är viktigt för er del. Upprätta rutiner för minimering av personuppgifter. När rutiner kring minimering av personuppgifter är formulerade och efterlevs kommer arbetet med att uppfylla kraven i GDPR gå mycket lättare.

De personuppgifter som behandlas ska vara tydligt kopplade till ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha". Vad som är nödvändig information i er verksamhet, ska utarbetas i en skriftlig policy och i era rutiner kring personuppgiftsbehandling, som var och en ska känna till. Styrelsen ska alltid känna till behandlingen av personuppgifter i företaget/organisationen.

Vid behandling av personuppgifter gäller följande:

• Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

• De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

• De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

• De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

• De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

• De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

Den personuppgiftsansvarige ska ansvara för och kunna visa att ovan punkter efterlevs (ansvarsskyldighet).

Om principerna

Principerna är grunden för GDPR och innebär bland annat att den personuppgiftsansvariga först och främst måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter.

Samla bara in personuppgifter för specifika, särskilt angivna och berättigade ändamål. Behandla inte fler personuppgifter än vad som behövs för ändamålen och se till att personuppgifterna är riktiga. Kom också ihåg att radera personuppgifterna när de inte längre behövs. Utöver detta ska personuppgifterna skyddas, så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs. Slutligen ska ni kunna visa att och hur ni lever upp till dataskyddsförordningen.

Personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Men vad innebär det?

• Personuppgiften ska vara adekvat, det vill säga att uppgiften ska vara träffande, riktig och relevant. Det innebär att den uppgift ni samlar in inte får innehålla några felaktigheter utan ni ska ansvara för att allt ni samlar in är riktigt. Det är den personuppgiftsansvarige som bedömer att uppgifterna är adekvata och fullständiga. Det är inte den registrerades uppgift att få det rätt. Däremot har den registrerade rätt att få ofullständiga uppgifter kompletterade. Företaget/organisationen ska alltid kunna förklara varför man har samlat in personuppgifterna och på vilken laglig grund.
• Personuppgiften ska vara relevant för ändamålet. Ni får endast samla personuppgifter som är relevanta för exempelvis medlemsregistret, kundklubben eller telefonlistan. Att samla på "bra att ha" adresser eller personuppgifter är inte tillåtet.
• Personuppgifterna ska inte vara för omfattande i förhållande till de ändamål för vilka de ska behandlas. Har ni ett medlemsregister, får ni bara hantera de absolut nödvändigaste uppgifterna, som till exempel namn, adress, telefonnummer, men inte hårfärg, skostorlek eller annat som inte är relevant.

Det finns en hel del domar från domstolar och beslut från tillsynsmyndigheten om just uppgiftsminimering. Till exempel Datainspektionens (nuvarande Integritetsskyddsmyndigheten) beslut 2014-02-07, dnr 234-2013, om personuppgifter i körjournaler i syfte att inför Skatteverket visa att anställda inte använder arbetsgivarens fordon i beskattningsbar utsträckning. Då gällde personuppgiftslagen, men innehållet har samma betydelse som i dagens GDPR.

“Företagen får inte samla in fler uppgifter än vad som behövs för att redovisa firmabilarnas användning till Skatteverket. För den redovisningen behöver inte detaljerad positioneringsinformation om bilarna sparas under lång tid. Integritetsskyddsmyndigheten anser dock att det kan vara motiverat att spara positioneringsdata i upp till tre månader för att i efterhand kunna komplettera befintliga körjournaler.”

I ett av besluten finns även att företag/organisationer måste begränsa tillgången till personuppgifterna till endast de som har behov av denna information för sitt arbete. Det vill säga att alla ska inte kunna se allt. Företag/organisationer måste ha tydliga rutiner och policyer gällande vem som gör vad och vem som har mandat att se olika personuppgifter.

• Ändamålsbegränsning: Samla bara in uppgifter för specifika ändamål och behandla inte uppgifterna senare för ett annat ändamål. Ni får inte ändra ändamål. Om det blir en ny behandling måste ni börja om med att se om ni har laglig grund för att behandla personuppgiften. Ändamålen måste vara specifika och konkreta, inte luddiga eller otydliga. Det vill säga att det ska inte vara svepande ändamål som att de samlas in för diverse behandlingar och ni måste alltid ha en laglig grund för att få behandla personuppgifterna.
  
  Exempel: Om ni har samlat in uppgifter för att administrera medlemskap får ni inte senare behandla uppgifterna för till exempel riktad marknadsföring.

• Uppgiftsminimering: Samla bara in de uppgifter som är relevanta för ändamålet. Det är med andra ord inte tillåtet att samla in personuppgifter för obestämda framtida behov, för att de kan vara "bra att ha". Det kan vara telefonnummer, e-postadresser m.m. Tänk på att anteckningar, post-it lappar och annat kan innehålla personuppgifter.
  
  Exempel: Behöver ni bara namn och telefonnummer för att administrera medlemskap, ska ni inte registrera personnummer för att "det kan vara bra att ha".

• Korrekthet: Se till att ha korrekta uppgifter och uppdatera dem vid behov. Är adressen eller e-postadressen rätt och riktig? Som personuppgiftsansvarig måste man säkerställa att alla personuppgifter är korrekta. Upprätta rutiner för att hantera detta på ett enkelt och säkert sätt och se till att endast rätt person har tillgång till uppgifterna.
  
  Exempel: Lämpliga rutiner ska finnas på plats för att säkerställa att felaktiga personuppgifter rättas.

• Lagringsminimering: Spara inte uppgifterna under en längre tid än nödvändigt. Om däremot uppgifter måste sparas för framtida behov, till exempel pension eller skatterättsliga skäl ska det anges i ett artikel-30 register. Resten ska raderas.
  
  Exempel: Om en medlem avslutar sitt medlemskap ska medlemmens personuppgifter raderas, om uppgifterna inte längre behövs för att administrera eller avsluta medlemskapet. Endast det som måste lagras enligt bokföringslagen, annan lag eller för att fullgöra avtal får behållas under den tid det är nödvändigt.

• Lagring och rensning av personuppgifter - Kundregister 2025
  Ladda ner
• Lagring och rensning av personuppgifter - Medlemsregister 2025
  Ladda ner
• Rensning av personuppgifter - För anställda i privata företag 2025
  Ladda ner
• Rensning av personuppgifter - Sökande till tjänster 2025
  Ladda ner
• Rensning av personuppgifter - Tidigare anställda 2025
  Ladda ner

Företag/organisationer ska bygga in dataskydd som standard när man jobbar med digitala lösningar för att hantera personuppgifter. Det innebär att det finns en skyldighet att bygga in uppgiftsminimering i systemen. Systemen ska kunna rensa gamla uppgifter digitalt och byggas upp så att endast en begränsad del av personuppgifterna behöver finnas i de digitala systemen samt att endast den som har behörighet att se vissa personuppgifter har tillgång endast till dessa.

I ett kundregister ska det således endast finnas de uppgifter som krävs för att uppfylla det avtal ni har för att leverera en vara eller tjänst. Samma gäller ett medlemsregister, som endast ska innehålla de uppgifter ni behöver för att hantera medlemskapet i föreningen.

Dataskyddet ska också innehålla rutiner kring hur ni skickar eller behandlar personuppgifterna. Det är till exempel inte tillåtet att skicka känsliga eller skyddsvärda personuppgifter per e-post. Det kan handla om medlemskap i en fackförening, i en kyrka, medicinska rapporter eller löneuppgifter som inte kan skickas per e-post. Eller barns uppgifter (upp till tretton år), utan båda föräldrarnas tillåtelse.

Ni ska kunna uppdatera, rensa och underhålla era digitala system 365 dagar om året och år efter år. Redan när ett nytt IT-system ska köpas in ska ni se till att ni har byggt in kravet med uppgiftsminimering i systemet. I systemen ska det också garanteras sekretess och integritetsskydd. Ni måste också tillse att det inte sker personuppgiftsincidenter, det vill säga att personuppgifter ligger öppna i systemen för alla att ta del av eller att de kan skickas hur som helst till vem som helst.

Om ni hanterar känsliga personuppgifter är det förbjudet att skicka eller lämna dessa till någon annan att behandla, ifall ni inte har sett till att det finns säkerhet i behandlingen av uppgifterna. Har ni underleverantörer av era datasystem, måste ni teckna personuppgiftsbiträdesavtal, där det tydligt framgår vilket ansvar och vilka krav underleverantören har gällande behandlingen av personuppgifter. Ni kanske har ett CRM och ett lönesystem som administreras av något annat företag, revisionsfirma, bank osv. Alla måste ha ett biträdesavtal.

Organisationerna måste samarbeta med de personer som registreras och visa dem respekt gällande deras personuppgifter. Företag/organisationer äger inte personuppgifterna, det gör du och jag som individer och ingen ska kunna hantera dessa utan vårt samtycke eller kunskap om vad som görs med informationen.

Den registrerade har rätt att få information när dennes personuppgifter behandlas. Nedan följer en beskrivning av vad ni måste informera om vid inhämtandet av personuppgifter enligt dataskyddsförordningen. Hur ni lämnar denna information bestäms utifrån den behandling ni gör, ibland kan det vara en länk till ett dokument på er hemsida, ibland en bilaga i ett brev eller e-post. Gör upp en plan och rutiner för hur detta ska göras.

Information som ska lämnas när personuppgifter samlas in från den registrerade

Punkt 1

• Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare. Vilket kan finnas på till exempel företagets/organisationens hemsida eller med en länk i en e-post till hemsidan.
• Kontaktuppgifter för dataskyddsombudet, om det behövs och finns en sådan.
• Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
• Om behandlingen är baserad på den personuppgiftsansvariges eller en tredje parts berättigade intressen. Där företaget/organisationens intresse väger tyngre än den enskildes.
• Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall. Om ni har underleverantörer eller samarbetspartners måste ni berätta vilka som också tar del av uppgifterna.
• I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation. Att överföra personuppgifter till ett så kallat tredjeland (land utanför EU/EES) kräver mycket arbete och bra expertis. Ta del av Schrems II – domen för att förstå svårigheten. Flera organisationer har till exempel slutat med att använda Microsoft 365 för personuppgifter, då dessa uppgifter kan begäras av USAs regering och myndigheter för behandling i USA, dvs tredje land. Detta är inte tillåtet enligt GDPR.

Punkt 2

Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling:

• Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller att invända mot behandling samt rätten till dataportabilitet.
• Om behandlingen grundar sig på artikel 6.1 a (samtycke från den registrerade) eller artikel 9.2 a (känsliga personuppgifter och samtycke), att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
• Rätten att inge klagomål till en tillsynsmyndighet, i detta fall Integritetsskyddsmyndigheten.
• Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.
• Förekomsten av automatiserat beslutsfattande (t ex automatiserade kreditbeslut), inbegripet profilering (enligt artikel 22.1 och 22.4), varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Punkt 3

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

Om personuppgifterna inte har hämtats från den registrerade

Punkt 1

Personuppgiftsansvarig ska lämna följande information:

• Identitet och kontaktuppgifter för den personuppgiftsansvarige och i tillämpliga fall för dennes företrädare.
• Kontaktuppgifter för dataskyddsombudet, i tillämpliga fall.
• Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.
• De kategorier av personuppgifter som behandlingen gäller.
• Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.
• I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation

Punkt 2

Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande information, vilken krävs för att säkerställa rättvis och öppen behandling när det gäller den registrerade:

• Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.
• Om behandlingen grundar sig på artikel 6.1 f (se ovan), den personuppgiftsansvariges eller en tredje parts berättigade intressen.
• Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet.
• Om behandlingen grundar sig på artikel 6.1 a eller artikel 9.2 a (se ovan), rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.
• Rätten att inge klagomål till en tillsynsmyndighet.
• Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.
• Förekomsten av automatiserat beslutsfattande, inbegripet profilering (enligt artikel 22.1 och 22.4), varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

Punkt 3

Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

• inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,
• om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller
• om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

Punkt 4

Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

Punkt 5

Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

• den registrerade redan förfogar över informationen,
• tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (i enlighet med artikel 89.1), eller i den mån den skyldighet som avses i punkt 1 i den här artikeln sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen; i sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, inbegripet göra uppgifterna tillgängliga för allmänheten,
• erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten (EU-förordningen eller likande) eller genom en medlemsstats nationella rätt (lag, kollektivavtal eller liknande) som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller
• personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, inbegripet andra lagstadgade sekretessförpliktelser.

En registrerad har rätt att få tillgång till sina personuppgifter. Ni måste vara transparanta! Den registrerade ska få felaktiga personuppgifter rättade och sina personuppgifter raderade inom en månad om uppgifterna inte längre är nödvändiga. De ska få veta hur länge ni kommer att lagra personuppgifterna och ifall ni måste arkivera uppgifterna för all evighet. Den registrerade har rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY). Nya som gamla medlemmar/kunder måste få informationen. Gör upp rutiner för hur detta ska ske.

Dokumentera

Ni måste skriva ner era rutiner för att behandla personuppgifter. Detta kallas register över behandling eller artikel-30 register. Registret ska vara skriftligt, vara tillgängligt i elektroniskt format för Integritetsskyddsmyndigheten och hållas uppdaterat. Registret ska innehålla information om

• namn och kontaktuppgifter till den personuppgiftsansvarige (oftast företagets/organisationens namn)
• varför ni behandlar personuppgifter (syftet med behandlingen av personuppgifterna)
• vilka kategorier av personer och personuppgifter ni behandlar (till exempel uppgifter om medlemmar i en bostadsrättsförening och deras adress och telefonnummer)
• eventuella externa mottagare av personuppgifterna och om ni för över uppgifter till ett så kallat tredjeland (land utanför EU/EES)
• tidsfrister för radering, det vill säga hur länge uppgifterna sparas (om möjligt)
• vilka säkerhetsåtgärder ni använder när ni behandlar personuppgifterna (om möjligt).

• Artikel 30-register 2025
  Ladda ner

När ni samlar personuppgifter måste ni skydda dessa och säkerställa att de behandlas på ett säkert sätt. Skydd kan vara säkra datasystem eller låsbara skåp eller rum. Företaget/Organisationen måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder.

Tekniska säkerhetsåtgärder är till exempel säkra datasystem, säkra wi-fi uppkopplingar, kryptering av uppgifter, skydd mot virus, mobilsäkerhet osv.

Organisatoriska säkerhetsåtgärder är till exempel utbildning i dataskydd, hantering av företagets datorer och mobiler, vem gör vad och när, vilka behörigheter det finns och för vem, upprättade rutiner och regler kring de olika delarna i GDPR.

Företaget/organisationen avgör vilken säkerhetsnivå som gäller för olika sorters personuppgifter. Personal- och lönehantering ska hanteras säkrare än till exempel uppgifter om vilka som sitter i styrelsen. Om behandling sker av ett annat företag, så måste ni säkerställa säkerhetsnivån på det företaget.

Ni är ansvariga för att skydda personuppgifterna ni behandlar på ett bra sätt. Detta gör ni genom att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder. Vad som är en lämplig säkerhetsnivå beror bland annat på vilken typ av personuppgifter det handlar om, hur omfattande personuppgiftsbehandlingen är och varför ni behandlar personuppgifterna. Det beror också på vilka risker behandlingen kan innebära för medlemmarnas rättigheter och friheter.

Exempel på säkerhetsåtgärder:

• kryptera känsliga personuppgifter
• begränsa åtkomst till personuppgifterna
• installera skydd mot skadlig kod (antivirus)

Nu är det dags att sätta igång arbetet med uppgiftsminimering. Ni måste säkerställa att ni har rutiner på vilka uppgifter ni tar in från de registrerade. Gå igenom vilka arbetsuppgifter som kan datoriseras eller automatiseras. Allt blir också ett led i effektivisering av ert arbete på företaget/organisationen. Och kom ihåg att radera och slänga!

Ett annat sätt är att årligen ha en städdag, där alla går igenom sin e-post och slänger allt som inte har ett ändamål, slänger alla anteckningar, post-it lappar med onödiga personuppgifter till att gå igenom arkiven och slänga allt som inte har ett värde för framtiden.