Artikkel 5 (1) (C) GDPR
Databeskyttelsesprinsippet for dataminimering
Kort sagt betyr databeskyttelsesprinsippet for dataminimering at selskaper ikke må behandle flere personopplysninger enn det som er nødvendig for formålet med behandlingen. I tillegg skal selskapene slette eller anonymisere personopplysningene når de ikke lenger er nødvendige for det formålet de ble samlet inn for.
Databeskyttelsesprinsippet om dataminimering under GDPR
Dette dataminimeringsprinsippet implementerer et av de syv grunnleggende databeskyttelsesprinsippene som selskaper må overholde i henhold til GDPR. Det er den behandlingsansvarliges ansvar å sikre overholdelse av databeskyttelsesprinsipper ved behandling av personopplysninger i sin virksomhet.
Reduserer risikoen for behandling
Bedrifter kan redusere risikoen knyttet til behandling av personopplysninger, for eksempel ved å anonymisere personopplysninger. Det samme gjelder ved pseudonymisering av personopplysninger. Selskapet kan også implementere andre typer tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysningene det behandler.
Hva betyr prinsippet om dataminimering?
I henhold til databeskyttelsesprinsippet om dataminimering skal personopplysningene som behandles av selskaper, være:
Tilstrekkelig
Personopplysningene som samles inn av foretaket, skal være nøyaktige, tilstrekkelige og relevante for det spesifikke angitte formålet med behandlingen. Det er derfor ikke tillatt å behandle flere personopplysninger «bare fordi de kan være nyttige for fremtiden».
Korrelasjon
Det må være en sammenheng mellom personopplysningene som behandles av selskapet og formålet med bruken. Dette betyr at personopplysningene som behandles må være betydelige og klart knyttet til formålet med behandlingen.
Nødvendig
Bedrifter skal bare behandle de personopplysningene som er begrensede og nødvendige for bruksformålet. Dette betyr at de aktuelle personopplysningene faktisk må være nødvendige for å oppfylle formålet med behandlingen. Ved vurdering av om det er nødvendig å behandle visse personopplysninger, skal et selskap stole på alle registrerte. I tillegg bør selskapet i noen tilfeller også stole på individuelle registrerte. Et praktisk eksempel er om et selskap, når det serverer mat, trenger informasjon om mulige matallergier hos registrerte.
Hvor lenge virksomheter vil behandle personopplysninger
Bedrifter skal ikke behandle personopplysninger lenger enn det som er nødvendig for det formålet de ble samlet inn for. Selskapene skal bestrebe seg på å behandle personopplysninger så kort tid som mulig. Det er ikke lov å lagre personopplysninger lenger ”av sikkerhetsmessige årsaker” etter at formålet med behandlingen er oppnådd, og de er egentlig ikke nødvendig lenger.
I noen tilfeller ønsker selskaper å behandle de samme personopplysningene, men for et annet formål. I slike tilfeller skal de ha et nytt rettslig grunnlag for behandlingen. Derimot kan foretaket vurdere om behandlingen av de samme personopplysningene for en annen bruk er forenlig med den opprinnelige bruken og dermed tillatt.
Flere grunnleggende databeskyttende prinsipper
Prinsippet om nøyaktighet under GDPR
Alle personopplysninger som behandles av selskaper skal være nøyaktige. I tillegg vil selskapene prøve å oppdatere dem på eget initiativ. Dersom personopplysningene er unøyaktige og unøyaktige, skal de enten rettes eller slettes. Vær oppmerksom på at en rettelse også kan komme i tillegg hvis det mangler noe i personopplysningene. Vær oppmerksom på at korrigering skal skje uten forsinkelse etter at selskapet blir oppmerksom på at personopplysninger er unøyaktige. En registrert har rett til å kontakte selskapet hvis de anser at personopplysningene er unøyaktige og ber om korrigering. Det er viktig å huske på at unøyaktige personopplysninger kan ha ødeleggende konsekvenser. Et eksempel er når et sykehus behandler uriktige personopplysninger, noe som kan føre til medisinske tiltak som er uriktige og i verste fall farlige for de registrerte.