Når man behandler personoplysninger, er der en række principper, som sætter grænser for, hvordan oplysningerne må behandles. Principperne gælder altid for alle personoplysninger og i enhver behandlingssituation.

Principperne udgør de helt grundliggende byggesten indenfor persondataretten. Det er derfor helt centralt, at man altid efterlever disse principper.

1. Lovlighed, rimelighed og gennemsigtighed
Personoplysninger skal behandles lovligt, rimeligt og gennemsigtigt. Lovligt vil sige, at man skal have hjemmel. Man skal altså kunne henvise til et retligt grundlag i artikel 6 – f.eks. kontrakt eller interesseafvejning – hvis der er tale om almindelige personoplysninger, eller i artikel 9, hvis der er tale om følsomme personoplysninger.

Rimelighed og gennemsigtighed betyder, at den, som data vedrører (den registrerede), er oplyst om, hvilken behandlinger, der foregår, således at behandlingen er gennemsigtig, og således at der er et passende forhold mellem formål og personoplysninger.

2. Formålsbegrænsning
Personoplysningerne må kun indsamles til udtrykkeligt angivne og legitime formål. Det vil sige, at formålet eller formålene skal være tilstrækkeligt præcist afgrænset. I nær tilknytning hertil må man som udgangspunkt ikke bruge oplysninger, man har indsamlet til et formål til et andet formål. Den, som data vedrører, må ikke kunne siges at være i tvivl om, til hvilket formål oplysningerne behandles.

Hvis man skal viderebehandle oplysningerne til andre formål, skal man gennemgå en egentlig test af de to formåls forenelighed. Her skal man lægge vægt på forbindelsen mellem de to formål, forholdet mellem den registrerede og den dataansvarlige, om der behandles følsomme oplysninger eller oplysninger om straffedomme, om der kan være særlige konsekvenser for den registrerede, og om der er iværksat forskellige garantier, der kan reducere eventuelle konsekvenser for den registrerede.

3. Dataminimering
De oplysninger, der behandles, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for at opfylde formålet. Der må altså ikke behandles oplysninger, som ikke er nødvendige for at opfylde formålet. Hvis man kan opfylde sit formål med færre oplysninger, skal man gøre det. Bare fordi ”man har fat i” den registrerede, må man ikke lave en helgardering med indsamling af alle mulige oplysninger, som man måske kunne have nytte af at have for at opfylde andre formål evt. engang i fremtiden.

4. Rigtighed
Personoplysningerne skal være korrekte og om nødvendigt ajourførte. Man må således ikke behandle forkerte personoplysninger, og hvis man opdager, at nogle af de oplysninger, man behandler, er ukorrekte, er der en pligt til at få dem berigtiget eller slette dem.

5. Opbevaringsbegrænsning
Man må kun være i stand til at identificere den registrerede i det tidsrum, som er nødvendigt for at opfylde formålet. Det betyder ikke, at man, når formålet er opfyldt, skal slette alle data, men det betyder, at de data, som kan henføres til den registrerede, skal slettes. Hvis man f.eks. sletter et navn eller kundenummer, og der ikke er mulighed for at identificere den registrerede på baggrund af de resterende oplysninger, må man gerne beholde disse. Det bliver dermed et vigtigt skridt, at man får lavet en fornuftig slettepolitik.

6. Integritet og fortrolighed
Der skal skabes tilstrækkelig sikkerhed for personoplysningerne. Oplysningerne må ikke kunne manipuleres eller behandles af andre, end det var tilsigtet. Dette kan ske ved at tilvejebringe passende tekniske og organisatoriske sikkerhedsforanstaltninger, som reducerer risikoen for behandling.

7. Ansvarlighed
Den dataansvarlige skal kunne påvise, at alle de ovenstående principper efterleves ved de behandlinger, der foretages. Dermed er der altså en dokumentationsforpligtelse relateret til overholdelse af loven, når man behandler personoplysninger.

Did this answer your question?