Artikel 5 i GDPR
De syv grundlæggende principper for databeskyttelse
Virksomheder, der behandler personoplysninger, skal overholde de syv grundlæggende databeskyttelsesprincipper i den europæiske generelle forordning om databeskyttelse (GDPR). GDPR er en EU-forordning, der trådte i kraft i 2018 i EU- og EØS-landene.
De syv grundlæggende databeskyttelsesprincipper udgør kernen i GDPR
De grundlæggende databeskyttelsesprincipper udgør kernen i GDPR og fastlægger rammerne for behandlingen af personoplysninger. Principperne er fastsat i artikel 5 i GDPR. Virksomhederne skal derfor kende dem alle for at vide, hvad de skal gøre for at overholde reglerne.
Bemærk, at virksomheden ikke kun skal overholde principperne ved indsamling af personoplysninger. Virksomheden skal følge principperne i hele behandlingens livscyklus.
Konsekvenser af overtrædelse af GDPR
GDPR er en omfattende lovgivningsmæssig ramme, der indeholder meget for virksomheder at tænke over. Konsekvenserne for virksomheder, der overtræder GDPR, kan være ødelæggende. I værste fald kan en virksomhed blive pålagt bøder på op til 20 mio. EUR eller 4 % af den globale årlige omsætning (den højeste mulighed).
Princippet om lovlighed, formel rigtighed og gennemsigtighed
Dette princip består af tre delprincipper . For det første er det ikke tilladt at behandle personoplysninger uden et retsgrundlag, også kendt som et retsgrundlag. Eksempler på retsgrundlag i henhold til GDPR er samtykke, aftaler med registrerede og juridisk forpligtelse. Retsgrundlaget er reguleret i artikel 6 i GDPR.
For det andet skal behandlingen være rimelig, rimelig, rimelig og stå i et rimeligt forhold til den registrerede.
For det tredje skal behandlingen være gennemsigtig, og de registrerede skal have kendskab til behandlingen. Databeskyttelsesprincippet om lovlighed, formel rigtighed og gennemsigtighed er reguleret i databeskyttelsesforordningens artikel 5, stk. 1, litra a).
Princippet om formålsbegrænsning
Virksomheder skal have et formål med behandlingen. Med andre ord et forudbestemt og specifikt formål. Desuden skal det klart angives og meddeles de registrerede. Det er ikke tilladt at behandle personoplysninger til et eventuelt fremtidigt formål, der ikke er angivet.Bemærk, at det ikke er tilstrækkeligt at angive et for bredt formål, f.eks. at formålet med behandlingen er at “forbedre brugeroplevelsen”, “IT-sikkerhed” eller “fremtidig forskning”. Disse er ikke tilladt, da de registrerede ikke kan vurdere, hvad behandlingen kan betyde, fordi den er for vagt beskrevet. Databeskyttelsesprincippet om formålsbegrænsning er reguleret af artikel 5, stk. 1, litra b), i GDPR.
Princippet om dataminimering
Virksomheder må ikke behandle flere personoplysninger end nødvendigt til formålet. Kort sagt betyder dette princip, at virksomheden ikke må behandle unødvendige personoplysninger, som ikke er nødvendige for at opfylde formålet med behandlingen. Det er kun tilladt at behandle relevante og tilstrækkelige personoplysninger for at opfylde formålet med behandlingen.
Hvis virksomheden ønsker at behandle flere personoplysninger til andre formål, har den brug for et nyt retsgrundlag for denne behandling. Kort sagt betyder dette princip, at en virksomhed ikke må behandle unødvendige personoplysninger, “bare fordi det kan være nyttigt at have dem i fremtiden” til et hvilket som helst formål, der endnu ikke er fastlagt. Databeskyttelsesprincippet om dataminimering er reguleret i artikel 5, stk. 1, litra c), i GDPR.
Nøjagtighedsprincippet
Virksomhederne skal sikre, at personoplysningerne er nøjagtige, nøjagtige og om nødvendigt ajourførte. Upræcise personoplysninger skal enten berigtiges eller slettes uden unødig forsinkelse. Det er derfor vigtigt, at virksomheden fastlægger interne procedurer for kontrol og berigtigelse af personoplysninger samt håndtering af registreredes anmodninger om berigtigelse af deres personoplysninger i overensstemmelse med artikel 16 i GDPR. Databeskyttelsesprincippet om nøjagtighed er reguleret i databeskyttelsesforordningens artikel 5, stk. 1, litra d).
Princippet om minimering af oplagring
Personoplysninger kan behandles, så længe de er nødvendige til det formål, hvortil de blev indsamlet. Når personoplysninger ikke længere er nødvendige for at behandle dem, skal virksomheden slette eller anonymisere dem. Virksomheden kan dog være nødt til at gemme personoplysningerne alligevel på grund af krav i anden lovgivning. I sådanne tilfælde skal virksomheden fortsætte med at gemme personoplysningerne for ikke at overtræde loven. Virksomheder skal f.eks. gemme indtægter i et vist antal år i henhold til gældende regnskabslovgivning.
For at overholde dette princip om opbevaringsminimering i henhold til GDPR skal virksomheder etablere og implementere interne procedurer for sletning og / eller anonymisering af personoplysninger. Virksomhederne skal også udvikle interne procedurer, som medarbejderne skal følge, når en registreret anmoder om sletning af sine personoplysninger i overensstemmelse med artikel 17 i GDPR. Databeskyttelsesprincippet om opbevaringsminimering er reguleret i databeskyttelsesforordningens artikel 5, stk. 1, litra e).
Princippet om integritet og fortrolighed
Virksomhederne skal træffe passende tekniske og organisatoriske foranstaltninger for at beskytte de personoplysninger, de behandler. Jo mere følsomme personoplysningerne er, jo mere sikkerhed kræves der. Ingen uvedkommende må få adgang til dem, og de skal også beskyttes mod uautoriseret brug.
Hvis personoplysningerne videregives eller anvendes ulovligt, vil det resultere i et brud på persondatasikkerheden i overensstemmelse med GDPR. Virksomheder skal have interne procedurer på plads for at sikre, at brud på persondatasikkerheden håndteres korrekt i overensstemmelse med reglerne i GDPR. Desuden skal visse brud på persondatasikkerheden anmeldes til tilsynsmyndigheden inden for 72 timer.
Eksempler på tekniske sikkerhedsforanstaltninger
Eksempler på tekniske sikkerhedsforanstaltninger er antivirussoftware, backupfiler og kryptering af personoplysninger. Eksempler på organisatoriske foranstaltninger er intern uddannelse, etablering af interne procedurer og/eller aftaler om behandling af personoplysninger. Databeskyttelsesprincippet om privatlivets fred og fortrolighed er reguleret i artikel 5, stk. 1, litra f), i GDPR.
Princippet om ansvarlighed
Virksomheder skal kunne bevise både, at de overholder GDPR-reglerne, og hvordan det rent faktisk sker i praksis. F.eks. ved at have skriftlige interne procedurer for håndtering af brud på persondatasikkerheden og håndtering af registreredes anmodninger om deres rettigheder. Det er også nyttigt at udarbejde skriftlige lister, der skal følges af personalet, samt resuméer af retsgrundlaget og databeskyttelsesprincipperne for at uddanne personalet i, hvordan personoplysninger behandles korrekt. Virksomhederne skal også indgå databehandleraftaler med databehandlere i henhold til artikel 28 i GDPR og føre et register i henhold til artikel 30 i GDPR.
Det er også vigtigt, at virksomhederne dokumenterer alle beslutninger og begrundelser i og gennemfører forskellige typer konsekvensanalyser, hvor det er nødvendigt, såsom konsekvensanalyser, når der overføres data til tredjelande. Databeskyttelsesprincippet om ansvar er reguleret i databeskyttelsesforordningens artikel 5, stk. 2.
Flere oplysninger om GDPR
De registreredes otte grundlæggende rettigheder
Der er otte (8) grundlæggende rettigheder for registrerede i henhold til GDPR, som en virksomhed bør kende til. Det er også godt at vide om disse rettigheder som en person i egenskab af en registreret. For at en virksomhed kan følge GDPR, er det vigtigt at have viden om disse rettigheder. Og dermed ikke kun om de syv databeskyttelsesprincipper og de seks retsgrundlag for lovlig behandling af personoplysninger i henhold til GDPR.