7 principper for behandling af personoplysninger

Når man behandler personoplysninger, er der en række principper, som sætter grænser for, hvordan oplysningerne må behandles. Principperne gælder altid for alle personoplysninger og i enhver behandlingssituation.

Principperne udgør de helt grundliggende byggesten indenfor persondataretten. Det er derfor helt centralt, at man altid efterlever disse principper.

Principperne er samlet i persondataforordningens artikel 5.

Principperne har en lang forhistorie og nævnes i forskellige guidelines fra forskellige steder i verden – om end udlægningen af dem og fortolkningspraksis kan variere. Således er tilsvarende principper nævnt i bl.a. OECDs Guidelines on the Protection of Privacy and Transborder Flows of Personal Data fra 1980, i EU’s databeskyttelsesdirektiv fra 1995 og i APECs Privacy Framework fra 2005. Efterlever man principperne, bliver man altså på dette punkt compliant med megen anden lovgivning rundt omkring i verden.

Principperne:

1. Lovlighed, rimelighed og gennemsigtighed
Personoplysninger skal behandles lovligt, rimeligt og gennemsigtigt. Lovligt vil sige, at man skal have hjemmel. Man skal altså kunne henvise til et retligt grundlag i artikel 6 – f.eks. kontrakt eller interesseafvejning – hvis der er tale om almindelige personoplysninger, eller i artikel 9, hvis der er tale om følsomme personoplysninger.

Rimelighed og gennemsigtighed betyder, at den, som data vedrører (den registrerede), er oplyst om, hvilken behandlinger, der foregår, således at behandlingen er gennemsigtig, og således at der er et passende forhold mellem formål og personoplysninger.

2. Formålsbegrænsning
Personoplysningerne må kun indsamles til udtrykkeligt angivne og legitime formål. Det vil sige, at formålet eller formålene skal være tilstrækkeligt præcist afgrænset. I nær tilknytning hertil må man som udgangspunkt ikke bruge oplysninger, man har indsamlet til et formål til et andet formål. Den, som data vedrører, må ikke kunne siges at være i tvivl om, til hvilket formål oplysningerne behandles.

Hvis man skal viderebehandle oplysningerne til andre formål, skal man gennemgå en egentlig test af de to formåls forenelighed. Her skal man lægge vægt på forbindelsen mellem de to formål, forholdet mellem den registrerede og den dataansvarlige, om der behandles følsomme oplysninger eller oplysninger om straffedomme, om der kan være særlige konsekvenser for den registrerede, og om der er iværksat forskellige garantier, der kan reducere eventuelle konsekvenser for den registrerede.

3. Dataminimering
De oplysninger, der behandles, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for at opfylde formålet. Der må altså ikke behandles oplysninger, som ikke er nødvendige for at opfylde formålet. Hvis man kan opfylde sit formål med færre oplysninger, skal man gøre det. Bare fordi ”man har fat i” den registrerede, må man ikke lave en helgardering med indsamling af alle mulige oplysninger, som man måske kunne have nytte af at have for at opfylde andre formål evt. engang i fremtiden.

4. Rigtighed
Personoplysningerne skal være korrekte og om nødvendigt ajourførte. Man må således ikke behandle forkerte personoplysninger, og hvis man opdager, at nogle af de oplysninger, man behandler, er ukorrekte, er der en pligt til at få dem berigtiget eller slette dem.

5. Opbevaringsbegrænsning
Man må kun være i stand til at identificere den registrerede i det tidsrum, som er nødvendigt for at opfylde formålet. Det betyder ikke, at man, når formålet er opfyldt, skal slette alle data, men det betyder, at de data, som kan henføres til den registrerede, skal slettes. Hvis man f.eks. sletter et navn eller kundenummer, og der ikke er mulighed for at identificere den registrerede på baggrund af de resterende oplysninger, må man gerne beholde disse. Det bliver dermed et vigtigt skridt, at man får lavet en fornuftig slettepolitik.

6. Integritet og fortrolighed
Der skal skabes tilstrækkelig sikkerhed for personoplysningerne. Oplysningerne må ikke kunne manipuleres eller behandles af andre, end det var tilsigtet. Dette kan ske ved at tilvejebringe passende tekniske og organisatoriske sikkerhedsforanstaltninger, som reducerer risikoen for behandling.

7. Ansvarlighed
Den dataansvarlige skal kunne påvise, at alle de ovenstående principper efterleves ved de behandlinger, der foretages. Dermed er der altså en dokumentationsforpligtelse relateret til overholdelse af loven, når man behandler personoplysninger.

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin