Principperne i GDPR

Introduktion

Her kan du læse om de principper, som er gennemgående for GDPR. Når du kender til principperne, kan du også lettere sætte dig ind, hvad du bør – og ikke bør – gøre, hvis du behandler personoplysninger.

Principperne danner derfor grundlaget for beskyttelse af personoplysninger og de registreredes rettigheder.

Første princip: “Lovlighed, rimelighed og gennemsigtighed”

Hvis du skal behandle personoplysninger, skal du leve op til princippet om lovlighed, rimelighed og gennemsigtighed.

Lovlighed

Du skal sikre dig, at behandlingen er lovlig. Det er sådan set nok åbenlyst for de fleste. Men det betyder også, at du skal overholde eventuelle andre lovgivninger. Så hvis du for eksempel har pligt til at føre journal, fordi det fremgår af en anden lov, som du er underlagt, så skal du naturligvis gøre det. Det kan du læse mere om her: Behandlingsgrundlag.

Rimelighed

Man skal opføre sig fornuftigt og fair overfor den registrerede. Med andre ord er du forpligtet til at passe godt på oplysningerne, og du må ikke behandle oplysningerne urimeligt.

Gennemsigtighed

Du har pligt til at sørge for, at den registrerede forstår behandlingen af hans eller hendes personoplysninger, og om der er konsekvenser forbundet med behandlingen. Det er blandt andet her, at privatlivspolitikker er relevante. Læs mere om det i afsnittet “Oplysningspligt“.

Andet princip: “Formålsbegrænsning”

Det andet princip handler om at begrænse behandlingen af oplysningerne i forhold til formålet. Indholdet er todelt:

Sagligt formål

Oplysningerne må kun behandles til saglige formål (“legitime formål”). Man kan altså ikke foretage en behandling af personoplysninger, fordi man måske på et senere tidspunkt vil få brug for dem, eller fordi man synes, at de er spændende!

Behandling til andre formål

Oplysningerne må kun behandles til det formål, som de er indsamlet til – eller hvis de ikke er “uforenelige” med det oprindelige formål. Man kan altså ikke begynde at behandle allerede indsamlede oplysninger til helt andre formål, end det man oprindeligt havde tænkt sig.

Tredje princip: “Dataminimering”

Dette princip handler om tilstrækkelighed, relevans og nødvendighed.

Tilstrækkelighed

Du skal undersøge, hvilke oplysninger, der er tilstrækkelige til at opfylde formålet. Hvis du sælger fysiske varer online, skal du derfor indsamle tilstrækkelige oplysninger om dine kunder, for at du kan indgå handlen med dine kunder, du kan sende varen osv.: navn, adresse, emailadresse (til kvitteringen), betalingsoplysninger (til online betaling) m.m.

Relevans

Du skal sikre, at du kun behandler oplysningerne, når det er relevant. Det kan være relevant at opbevare salgsfakturaer i 5 år af hensyn til bogføringsloven – sådanne bilag indeholder som regel navn og adresse. Men det er som regel ikke relevant at opbevare mailkorrespondance i 5 år, medmindre de bidrager til formålet: at sælge varer online.

Nødvendighed

Du må kun behandle de oplysninger, der er nødvendige for at opnå formålet. Hvis du for eksempel har en webshop, er det som regel ikke nødvendigt at registrere kundens fødselsdato.

Fjerde princip: “Rigtighed”

Princippet om rigtighed handler om, at man skal sikre sig, at oplysningerne er rigtige.

Omhyggelighed

Man skal være omhyggelig. Hvis du for eksempel er behandler og skal skrive journal, så skal du sørge for at indtaste korrekte oplysninger.

Urigtige oplysninger

Man skal slette eller rette forkerte (“urigtige”) oplysninger, når man bliver bekendt med fejlen.

Ajourført

Oplysningerne skal være ajourførte. Det kan selvfølgeligt være svært at holde øje med, om kunderne skulle skifte adresse. Men i det omfang, det kan lade sig gøre, så skal du opdatere oplysningerne. Og så er der væsentlige konsekvensforskelle på, om en kunde har skiftet adresse – eller om en patient har fået en ny diagnose, som man er blevet orienteret om, og som man ikke har indtastet i journalen.

Femte princip: “Opbevaringsbegrænsning”

Når vi taler om opbevaring, er det i GDPR-sammenhænge i relation til tid. Oplysningerne må nemlig kun opbevares så længe, det er nødvendigt.

Krav til opbevaringsperiode

Det kan være nødvendigt at opbevare oplysninger i regnskabsmateriale i 5 år. Det kan også være nødvendigt at opbevare oplysninger i kortere eller længere tid på baggrund af andre lovgivninger, for eksempel arkivloven.

Ingen krav til opbevaringsperiode

Hvis der ikke er andre regler, der fastsætter hvor længe, oplysningerne skal opbevares, så beslutter du selv som dataansvarlig, hvor længe du vil opbevare oplysningerne. Blot du ikke opbevarer dem længere, end hvad der er nødvendigt i forhold til formålet med behandlingen. Læs mere om dette i afsnittet “Slettefrister“.

Sjette princip: “Integritet og fortrolighed”

Dette princip drejer sig om sikkerhed – med andre ord: at vi beskytter personoplysninger mod brud på integritet (ægthed) og brud på fortrolighed. Det hænger tæt sammen med både risikovurdering og informationssikkerhed – læs mere om dette i afsnittene “Risikovurdering” og “Informationssikkerhed“. 

Integritet

Integritet handler om, at dataene for eksempel ikke er ødelagte, forkerte eller korrupte. Det er eksempelvis ganske almindeligt at lave tastefejl, men det kan medføre, at dataenes integritet svækkes. 

Fortrolighed

Brud på fortroligheden handler om, at uvedkommende får kendskab til oplysningerne. Det kan ske, at man får sendt en email til en forkert modtageradresse. Det kan også hænde, at man efterlader dokumenter i offentligt rum, eller at man bliver offer for ondsindede cyberangreb. Disse tilfælde er klassiske eksempler på brud på fortrolighed.

Syvende princip: “Ansvarlighed”

Man kan sige, at princippet om “Ansvarlighed” er helt generelt bærende for, at man kan udføre en lovlig behandling af personoplysninger jf. GDPR. Selvom princippet om ansvarlighed er beskrevet med den måske korteste sætning i hele databeskyttelsesforordningen, så er det alligevel en af de vigtigste elementer. Ganske kort drejer princippet sig om, at du som dataansvarlig skal kunne bevise, at alle de andre principper overholdes, og at oplysningerne dermed bliver beskyttet.

Med andre ord: man lever ikke op til loven, hvis man ikke kan bevise, at man overholder principper om dataminimering, formålsbegrænsning, opbevaringsbegrænsning osv.

Det tricky her er, at der ikke er egentligt faste regler for, hvordan man beviser det. Men som udgangspunkt vil man som minimum skulle sørge for at have sin risikovurdering, procedurebeskrivelser, informationssikkerhedspolitik og fortegnelser plads. Det kan du læse mere om i afsnittene “Risikovurdering“, “Informationssikkerhed” og “Fortegnelser“.

Opmærksomhedspunkter

Databeskyttelsesforordningen (GDPR) og databeskyttelsesloven fortæller ikke på noget tidspunkt, præcist hvordan man skal behandle oplysninger, for at det er lovligt. Der er selvfølgeligt krav til indholdet i visse former for dokumenter, for eksempel i fortegnelser og databehandleraftaler. Men i vid udstrækning er det op til den dataansvarlige at vurdere, hvordan man efterlever GDPR. Hvis man holder sig disse syv principper for øje, når man skal foretage sin vurdering, så er man nået et godt stykke hen ad vejen.

​Hvor kan du læse mere

Du kan læse mere om principperne og GDPR på Datatilsynets hjemmeside.