Artikel 5(1)(A) i GDPR
Dataskyddsprincipen om laglighet, korrekthet och transparens
Den grundläggande dataskyddsprincipen laglighet, korrekthet och transparens utgör en av sju principer som företag måste följa enligt GDPR. Denna princip består alltså av tre delar, även fast det är en princip.
Laglighet
Laglighet innebär att företaget följer de lagar och regler som gäller vid behandlingen. Med andra ord att företaget följer GDPR och andra relevanta lagar och förordningar. Till exempel måste företaget ha en rättslig grund för att få behandla personuppgifter, såsom avtal med registrerade eller samtycke.
Europeiska dataskyddsstyrelsens första tvistlösningsbeslut gällande laglighet vid personuppgiftsbehandling
Den Irländska dataskyddsmyndigheten utredde tillsammans med flera andra dataskyddsmyndigheter i EU huruvida ett företag, som bedriver flera av de största sociala-mediaplattformar, hade laglig grund när de behandlade personuppgifter tillhörande barn. Dataskyddsmyndigheterna var inte överens om beslutet och bad därför om ett tvistlösningsbeslut från den Europeiska dataskyddsstyrelsen (EDPB). EDPB konstaterade att företaget inte haft någon lämplig rättslig grund för behandlingen och därför var den inte tillåten. Sanktionsavgiften blev 405 miljoner euro.
Korrekthet
Denna del av principen innebär att behandlingen av personuppgifterna,i förhållande till de registrerade, ska vara rimlig, skälig, rättvis och proportionerlig. Att behandlingen ska vara proportionerlig innebär att behandling ska stå i rimlig proportion till nyttan den faktiskt medför. Därför måste företaget väga sina intressen mot den registrerades intressen. Denna avvägning ska ske innan behandlingen av personuppgifterna börjar bli utförd.
Behandlingen av personuppgifter ska dessutom vara rimlig i förhållande till syftet. Med andra ord ska behandlingen vara förväntad av de registrerade. Ett praktiskt exempel är om en e-handel behandlar personuppgifter, såsom kontaktuppgifter och adress, för att kunna fullgöra avtalet, så får företaget inte behandla fler personuppgifter än nödvändigt för det ändamålet. Däremot kan de behandla vissa av personuppgifterna som inte är nödvändiga för avtalets fullgörande med stöd i en annan rättslig grund, exempelvis samtycke.
Det är viktigt att företaget säkerställer att de registrerade förstår varför behandlingen av deras personuppgifter blir utförd. För att en behandling ska anses uppfylla principen om korrekthet, får den inte ske i hemlighet eller på andra manipulerade eller dolda sätt.
Transparens
Företaget måste informera de registrerade om behandlingen. Det måste ske på ett tydligt sätt. Bland annat genom att inkludera information om vilka personuppgifter företaget behandlar, syftet med behandlingen, när de kommer radera personuppgifterna och de rättigheter registrerade har.
Observera striktare krav om de registrerade är barn
Det är tillåtet att behandla personuppgifter som tillhör barn, men reglerna är striktare då. Till exempel ska språket som används vid information om behandlingen vara anpassat och formulerat på ett enkelt sätt, så att barn kan förstå det. Dessutom ska det vara formulerat och tillhandahållet på det nationella språket. Med andra ord ska företaget informera de registrerade på danska, om de är danska medborgare. Ett företag fick betala en sanktionsavgift eftersom språket var på engelska istället för holländska i Holland när många användare var barn.
Andra principer i GDPR
Ändamålsbegränsning är en annan grundläggande dataskyddsprincip
Det finns flera dataskyddsprinciper att följa vid behandling av personuppgifter. Enligt en annan principen är det inte tillåtet att behandla fler personuppgifter än nödvändigt för ändamålet med behandlingen. Dessutom måste syftet vara tydligt och uttryckligt angivet. De registrerade ska bland annat få information om behandlingen och ändamålet ska vara inkluderat. Detta följer av dataskyddsprincipen om ändamålsbegränsning.