Artikel 5, stk. 1, litra a), i GDPR
Databeskyttelsesprincippet om lovlighed, formel rigtighed og gennemsigtighed
De grundlæggende databeskyttelsesprincipper om lovlighed, rimelighed og gennemsigtighed er et af de syv principper, som virksomheder skal overholde i henhold til GDPR. Dette princip består derfor af tre dele, selv om det er et princip.
Lovlighed
Lovlighed betyder, at virksomheden overholder de love og regler, der gælder for behandlingen. Med andre ord, at virksomheden overholder GDPR og andre relevante love og regler.
For eksempel skal virksomheden have et retsgrundlag for behandling af personoplysninger, såsom kontrakter med registrerede eller samtykke.
Databeskyttelsesrådets første tvistbilæggelsesafgørelse om lovligheden af behandling af personoplysninger
Den irske databeskyttelsesmyndighed undersøgte sammen med flere andre EU-databeskyttelsesmyndigheder, om en virksomhed, der driver flere af de største sociale medieplatforme, havde et retsgrundlag, når den behandlede børns personoplysninger. Databeskyttelsesmyndighederne var uenige i afgørelsen og anmodede derfor Det Europæiske Databeskyttelsesråd om en afgørelse om tvistbilæggelse. Databeskyttelsesrådet fandt, at virksomheden ikke havde et passende retsgrundlag for behandlingen, og at det derfor ikke var tilladt. Bøden var på 405 mio. EUR.
Korrekthed
Denne del af princippet betyder, at behandlingen af personoplysninger i forbindelse med registrerede skal være rimelig, rimelig, rimelig og forholdsmæssig. Proportionalitet i behandlingen betyder, at behandlingen skal stå i et rimeligt forhold til den fordel, den faktisk giver. Virksomheden skal derfor afveje sine interesser mod den registreredes interesser. Denne afvejning skal finde sted, inden behandlingen af personoplysninger påbegyndes.
Rimelig behandling
Desuden skal behandlingen af personoplysninger stå i et rimeligt forhold til formålet. Med andre ord bør behandlingen forventes af de registrerede. Et praktisk eksempel er, hvis en e-handelsvirksomhed behandler personoplysninger, såsom kontaktoplysninger og adresse, for at opfylde aftalen, må virksomheden ikke behandle flere personoplysninger end nødvendigt til dette formål. De kan dog behandle nogle af de personoplysninger, der ikke er nødvendige for opfyldelsen af kontrakten, på grundlag af et andet retsgrundlag, såsom samtykke.
Underretning af de registrerede
Det er vigtigt, at virksomheden sikrer, at de registrerede forstår, hvorfor behandlingen af deres personoplysninger udføres. For at en behandling kan anses for at være i overensstemmelse med rimelighedsprincippet, må den ikke udføres i hemmelighed eller på andre manipulerede eller skjulte måder.
Gennemsigtighed
Virksomheden skal informere de registrerede om behandlingen. Dette skal gøres på en klar måde. Blandt andet ved at medtage oplysninger om, hvilke personoplysninger virksomheden behandler, formålet med behandlingen, hvornår de sletter personoplysningerne og de rettigheder, de registrerede har.
Overhold strengere krav, hvis de registrerede er børn
Det er tilladt at behandle personoplysninger, der tilhører børn, men reglerne er strengere. Det sprog, der anvendes i oplysningerne om behandlingen, bør f.eks. tilpasses og formuleres på en enkel måde, så børn kan forstå det. Desuden skal den være affattet og foreligge på det nationale sprog. Virksomheden skal med andre ord informere de registrerede på dansk, hvis de er danske statsborgere. En virksomhed måtte betale en bøde, fordi sproget var på engelsk i stedet for hollandsk i Holland, da mange brugere var børn.
Den generelle forordning om databeskyttelse (GDPR)
Formålsbegrænsning er et andet grundlæggende databeskyttelsesprincip
Der er flere databeskyttelsesprincipper, der skal følges ved behandling af personoplysninger. Ifølge et andet princip er det ikke tilladt at behandle flere personoplysninger end nødvendigt for formålet med behandlingen. Desuden skal formålet angives klart og udtrykkeligt. Registrerede skal bl.a. modtage oplysninger om behandlingen, og formålet skal medtages. Dette følger af databeskyttelsesprincippet om formålsbegrænsning.