GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 5 GDPR

De syv grunnleggende prinsippene for databeskyttelse

Bedrifter som behandler personopplysninger må overholde de syv grunnleggende databeskyttelsesprinsippene i den europeiske personvernforordningen (GDPR). GDPR er en EU-forordning som trådte i kraft i 2018 i EU- og EØS-landene. 

De syv grunnleggende prinsippene for databeskyttelse er kjernen i GDPR

De grunnleggende prinsippene for databeskyttelse danner kjernen i GDPR og setter rammene for behandling av personopplysninger. Prinsippene er fastsatt i artikkel 5 i GDPR. Bedrifter må derfor kjenne dem alle, for å vite hva de trenger å gjøre for å overholde regelverket.

Vær oppmerksom på at selskapet ikke bare skal overholde prinsippene ved innsamling av personopplysninger. Selskapet må overholde prinsippene gjennom hele prosessens livssyklus.

What breaches of the GDPR can lead to an administrative fine?

Konsekvenser ved brudd på GDPR

GDPR er et omfattende sett med regler som inkluderer mye for bedrifter å tenke på. Konsekvensene for selskaper som bryter med GDPR kan være ødeleggende. I verste fall kan et selskap bli bøtelagt opptil 20 millioner euro eller 4 % av sin verdensomspennende årsomsetning (det høyeste alternativet). 

Prinsippet om lovlighet, rettferdighet og åpenhet

Dette prinsippet består av tre underprinsipper. For det første er behandling av personopplysninger ikke tillatt uten rettslig grunnlag, også kalt «rettslig grunnlag». Eksempler på juridiske grunner under GDPR er samtykke, kontrakter med registrerte og juridisk forpliktelse. De rettslige grunnlagene reguleres av artikkel 6 i GDPR.

For det andre må behandlingen være rettferdig, rettferdig, rimelig og forholdsmessig i forhold til den registrerte. 

For det tredje må behandlingen være åpen og de registrerte må være klar over behandlingen.

Databeskyttelsesprinsippet om lovlighet, rettferdighet og åpenhet er regulert i artikkel 5 (1) (a) GDPR.

Prinsippet om formålsbegrensning

Virksomhetene må ha et formål med behandlingen. Med andre ord, forutbestemt og bestemt formål. I tillegg må det være tydelig angitt og kommunisert til de registrerte. Det er ikke tillatt å behandle personopplysninger for et mulig fremtidig formål som ikke er spesifisert. Vær oppmerksom på at det ikke er tilstrekkelig å spesifisere et for bredt formål, for eksempel at formålet med behandlingen er å «forbedre brukernes erfaring», «cybersikkerhet» eller «fremtidig forskning». Disse er ikke tillatt, da de registrerte ikke er i stand til å vurdere hva behandlingen kan innebære, da den er for vagt beskrevet.

Databeskyttelsesprinsippet om formålsbegrensning er regulert i artikkel 5 (1) (b) GDPR.

Prinsippet om dataminimering

Bedrifter skal ikke behandle flere personopplysninger enn det som er nødvendig for formålet. Kort sagt krever dette prinsippet at foretaket ikke behandler unødvendige personopplysninger som ikke er nødvendige for å oppnå formålet med behandlingen. Behandling av relevante og adekvate personopplysninger er kun tillatt for å oppnå formålet med behandlingen. 

Hvis selskapet ønsker å behandle flere personopplysninger til et annet formål, trenger de et nytt rettslig grunnlag for behandlingen. Kort sagt betyr dette prinsippet at et foretak ikke må behandle unødvendige personopplysninger «bare fordi de kan være nyttige i framtiden» for et formål som ennå ikke er fastsatt.

Databeskyttelsesprinsippet om dataminimering er regulert i artikkel 5 (1) (c) GDPR.

Prinsippet om nøyaktighet

Selskaper for å sikre at personopplysninger er nøyaktige, nøyaktige og i nødstilfeller. Uriktige personopplysninger skal rettes eller slettes uten ugrunnet opphold. Det er derfor viktig at selskapet etablerer interne prosedyrer for verifisering og korrigering av personopplysninger, samt håndtering av de registrertes forespørsler om korrigering av deres personopplysninger i henhold til artikkel 16 GDPR.

Databeskyttelsesprinsippet om nøyaktighet er regulert i artikkel 5 (1) (d) GDPR.

Prinsipp om begrensning av lagring

Personopplysninger kan behandles så lenge de er nødvendige for formålet de ble samlet inn for. Når personopplysninger ikke lenger er nødvendige for behandling, skal foretaket slette eller anonymisere dem. På den annen side kan det hende at selskapet må beholde personopplysningene uansett, på grunn av krav i annen lovgivning. I slike tilfeller skal selskapet fortsette å beholde personopplysningene, for ikke å bryte loven. For eksempel må selskaper beholde kvitteringer for et visst antall år i henhold til gjeldende regnskapslov. 

For å overholde dette prinsippet om lagringsbegrensning under GDPR, må selskapene etablere og implementere interne prosedyrer for sletting og / eller anonymisering av personopplysninger. Bedrifter må også utvikle interne prosedyrer som skal følges av ansatte når en registrert ber om sletting av deres personopplysninger i henhold til artikkel 17 GDPR.

Databeskyttelsesprinsippet om lagringsbegrensning er regulert i artikkel 5 (1) (e) GDPR.

Prinsippet om integritet og konfidensialitet

Bedrifter må implementere tilstrekkelige tekniske og organisatoriske tiltak for å beskytte personopplysningene de behandler. Jo mer sensitive personopplysningene er, desto mer sikkerhet kreves. De skal ikke være tilgjengelige for uvedkommende, og skal også beskyttes mot uvedkommende bruk. 

Hvis personopplysningene blir ulovlig avslørt eller brukt, utfører de et brudd på personopplysningssikkerheten i henhold til GDPR. Bedrifter må ha interne prosedyrer på plass for å sikre at brudd på personopplysninger håndteres riktig i tråd med GDPR-reglene. I tillegg skal visse brudd på personopplysningssikkerheten meldes til tilsynsmyndigheten innen 72 timer. 

 

What is the definition of anonymised data?

Eksempler på tekniske sikkerhetstiltak

Eksempler på tekniske sikkerhetstiltak inkluderer antivirusprogramvare, sikkerhetskopifiler og kryptering av personopplysninger.Eksempler på organisatoriske tiltak inkluderer intern opplæring, etablering av interne prosedyrer og / eller prosessoravtaler. Databeskyttelsesprinsippet om personvern og konfidensialitet er regulert i artikkel 5 (1) (f) GDPR.

Prinsippet om ansvarlighet

Bedrifter må kunne bevise overholdelse av GDPR-regler, samt hvordan det faktisk skjer i praksis. For eksempel ved å ha på plass skriftlige interne prosedyrer for håndtering av brudd på personopplysningssikkerheten og håndtering av de registrertes anmodninger om deres rettigheter. Det er også nyttig å utarbeide skriftlige sjekklister som skal følges av personalet, samt sammendrag av juridiske grunnlag og databeskyttelsesprinsipper, for å trene personalet på hvordan de skal behandle personopplysninger riktig. Bedrifter må også inngå databehandleravtaler med databehandlere i henhold til artikkel 28 i personvernforordningen og føre et register i henhold til artikkel 30 i personvernforordningen. 

Det er også viktig at selskapene dokumenterer alle beslutninger og begrunnelser og gjennomfører ulike typer konsekvensutredninger der det er nødvendig, for eksempel konsekvensutredninger for dataoverføringer til tredjeland.

Databeskyttelsesprinsippet om ansvar er regulert i artikkel 5 (2) i GDPR.

Mer informasjon om GDPR

De åtte grunnleggende rettighetene til registrerte

Det er åtte (8) grunnleggende rettigheter til registrerte under GDPR som et selskap bør vite om. Det er også godt å vite om disse rettighetene som individ i egenskap av en registrert. For at et selskap skal kunne følge GDPR, er det viktig å ha kunnskap om disse rettighetene. Og dermed ikke bare om de syv databeskyttelsesprinsippene og de seks juridiske grunnlagene for lovlig behandling av personopplysninger under GDPR.

Lyst til å lære mer?

Les mer
Skroll til toppen