Artikkel 5 (1) (A) GDPR
Databeskyttelsesprinsippet om lovlighet, rettferdighet og åpenhet
Det grunnleggende databeskyttelsesprinsippet om lovlighet, rettferdighet og åpenhet er et av syv prinsipper som selskaper må overholde i henhold til GDPR. Dette prinsippet består altså av tre deler, selv om det er et prinsipp.
Lovlighet
Lovlighet betyr at selskapet overholder de lover og regler som gjelder for behandlingen. Selskapet overholder med andre ord GDPR og andre relevante lover og forskrifter.
For eksempel må selskapet ha et juridisk grunnlag for å behandle personopplysninger, for eksempel kontrakter med registrerte eller samtykke.
Den første tvisteløsningsbeslutningen fra European Data Protection Board om lovligheten av behandling av personopplysninger
Den irske DPA-en, sammen med flere andre EU DPA-er, undersøkte om et selskap som driver flere av de største sosiale medieplattformene, hadde lovlig grunnlag ved behandling av personopplysninger om barn. DPAene var uenige med avgjørelsen og ba derfor om en tvisteløsningsbeslutning fra European Data Protection Board (EDPB). EDPB fant at selskapet ikke hadde et passende juridisk grunnlag for behandlingen, og derfor var det ikke tillatt. Boten var på 405 millioner euro.
Korrekthet
Denne delen av prinsippet innebærer at behandlingen av personopplysninger, i forhold til de registrerte, må være rimelig, rimelig, rettferdig og forholdsmessig. Behandlingens forholdsmessighet innebærer at behandlingen må stå i forhold til den nytte den faktisk gir. Selskapet må derfor balansere sine interesser mot interessene til den registrerte. Denne avveiningen skal finne sted før behandlingen av personopplysningene starter.
I tillegg må behandlingen av personopplysninger være rimelig i forhold til formålet. Behandlingen må med andre ord forventes fra de registrerte. Et praktisk eksempel er hvis et e-handelsselskap behandler personopplysninger, for eksempel kontaktinformasjon og adresse, for å oppfylle kontrakten, kan selskapet ikke behandle flere personopplysninger enn nødvendig for dette formålet. På den annen side kan de behandle noen av personopplysningene som ikke er nødvendige for utførelsen av kontrakten på grunnlag av et annet juridisk grunnlag, for eksempel samtykke.
Det er viktig at selskapet sørger for at de registrerte forstår hvorfor behandlingen av deres personopplysninger utføres. For at behandlingen skal anses å være i samsvar med rettferdighetsprinsippet, må den ikke utføres i hemmelighet eller på annen manipulert eller skjult måte.
Gjennomsiktighet
Selskapet må informere de registrerte om behandlingen. Dette må gjøres på en tydelig måte. Inkludert ved å inkludere informasjon om hvilke personopplysninger selskapet behandler, formålet med behandlingen, når de vil slette personopplysningene og rettighetene til de registrerte.
Overhold strengere krav dersom de registrerte er barn
Behandling av barns personopplysninger er tillatt, men reglene er strengere. For eksempel bør språket som brukes til å informere om behandlingen tilpasses og utarbeides på en enkel måte, slik at barn kan forstå det. I tillegg skal det utarbeides og framlegges på det nasjonale språket. Selskapet må med andre ord informere de registrerte på dansk hvis de er danske statsborgere. Ett selskap måtte betale en bot fordi språket var engelsk i stedet for nederlandsk i Holland da mange brukere var barn.
Andre GDPR-prinsipper
Formålsbegrensning er et annet grunnleggende prinsipp for databeskyttelse
Det er flere databeskyttelsesprinsipper som skal følges ved behandling av personopplysninger. Et annet prinsipp tillater ikke behandling av flere personopplysninger enn det som er nødvendig for formålet med behandlingen. I tillegg må formålet være klart og tydelig angitt. De registrerte skal blant annet få informasjon om behandlingen og formålet skal inkluderes. Dette følger av databeskyttelsesprinsippet om formålsbegrensning.