Artikel 5, stk. 1, litra c), i GDPR
Databeskyttelsesprincippet om dataminimering
Kort sagt betyder databeskyttelsesprincippet om dataminimering, at virksomheder ikke må behandle flere personoplysninger end nødvendigt til formålet med behandlingen. Derudover skal virksomheder slette eller anonymisere personoplysningerne, når de ikke længere er nødvendige til det formål, hvortil de blev indsamlet.
Databeskyttelsesprincippet om dataminimering i henhold til GDPR
Dette dataminimeringsprincip implementerer et af de syv grundlæggende databeskyttelsesprincipper, som virksomheder skal overholde i henhold til GDPR.
Det er den dataansvarlige, der er ansvarlig for at sikre, at databeskyttelsesprincipperne overholdes i forbindelse med virksomhedens behandling af personoplysninger.
Reducer risikoen for behandling
Virksomheder kan reducere den risiko, der er forbundet med behandling af personoplysninger, f.eks. ved at anonymisere personoplysninger. Det samme gælder ved pseudonymisering af personoplysninger. Virksomheden kan også træffe andre typer tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte de personoplysninger, som virksomheden behandler.
Hvad er princippet om dataminimering?
I henhold til databeskyttelsesprincippet om dataminimering skal de personoplysninger, der behandles af virksomheder:
Tilstrækkeligt
De personoplysninger, der indsamles af Selskabet, skal være nøjagtige, tilstrækkelige og relevante for det angivne formål med behandlingen. Det er derfor ikke tilladt at behandle flere personoplysninger, "bare fordi de kan være nyttige at have i fremtiden".
Forhold
Der skal være en sammenhæng mellem de personoplysninger, som virksomheden behandler, og formålet med brugen. Det betyder, at de behandlede personoplysninger skal være væsentlige og have en klar forbindelse til formålet med behandlingen.
Nødvendigt
Virksomheder må kun behandle de personoplysninger, der er begrænsede og nødvendige for formålet med brugen. Det betyder, at de pågældende personoplysninger rent faktisk skal være nødvendige for at opfylde formålet med behandlingen. Ved vurderingen af, om det er nødvendigt at behandle visse personoplysninger, baserer en virksomhed sig på alle registrerede. Desuden skal virksomheden i nogle tilfælde også basere sig på individuelle registrerede. Et praktisk eksempel er, hvis en virksomhed i forbindelse med servering af fødevarer har brug for oplysninger om eventuelle registrerede fødevareallergier.
Hvor længe virksomheder skal behandle personoplysninger
Virksomheder må ikke behandle personoplysninger længere end nødvendigt til det formål, hvortil de blev indsamlet. Virksomheder skal bestræbe sig på at behandle personoplysninger så kort tid som muligt. Det er ikke længere tilladt at lagre personoplysninger “af sikkerhedsmæssige årsager”, efter at formålet med behandlingen er opnået, og der ikke længere er behov for dem.
I nogle tilfælde ønsker virksomheder at behandle de samme personoplysninger, men til et andet formål. I sådanne tilfælde skal de have et nyt retsgrundlag for behandlingen. Virksomheden kan dog foretage en vurdering af, om behandlingen af de samme personoplysninger til et andet formål er forenelig med det oprindelige og dermed tilladte formål med anvendelsen.
Flere grundlæggende databeskyttelsesprincipper
Nøjagtighedsprincippet i henhold til GDPR
Alle personoplysninger, som virksomheder behandler, skal være korrekte. Desuden bør virksomhederne forsøge at opdatere dem på eget initiativ. Hvis personoplysninger er unøjagtige og unøjagtige, bør de enten rettes eller slettes. Bemærk, at en rettelse også kan betyde et tillæg, hvis der mangler noget i personoplysningerne. Bemærk venligst, at rettelser skal foretages straks efter, at virksomheden bliver opmærksom på, at personoplysninger ikke er korrekte. En registreret har ret til at kontakte virksomheden, hvis vedkommende mener, at personoplysningerne er ukorrekte, og anmode om berigtigelse. Det er vigtigt at huske på, at ukorrekte personoplysninger kan have ødelæggende konsekvenser. Et eksempel er, hvis et hospital behandler ukorrekte personoplysninger, hvilket kan føre til behandlingsforanstaltninger, der er ukorrekte og i værste fald farlige for de berørte registrerede.