De grundlæggende principper i GDPR

GDPR (General Data Protection Regulation) eller databeskyttelsesforordningen hviler på syv grundlæggende principper, som enhver behandling af personoplysninger skal følge. Disse principper er hjørnestenen i EU's lovgivning om databeskyttelse.

De syv principper

1. Lovlighed, rimelighed og gennemsigtighed Databeskyttelsesforordningen 5

   • Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede
   • Det skal være klart for de registrerede, hvilke oplysninger der indsamles, hvordan de bruges, og hvem der har adgang til dem

2. Formålsbegrænsning Databeskyttelsesforordningen 5

   • Oplysninger må kun indsamles til udtrykkeligt angivne og legitime formål
   • Må ikke viderebehandles på en måde, der er uforenelig med disse formål
   • Undtagelser kan gælde for arkivformål, videnskabelig eller historisk forskning eller statistiske formål

3. Dataminimering Databeskyttelsesforordningen 5

   • Kun oplysninger, der er nødvendige for det angivne formål, må behandles
   • Data skal være tilstrækkelige, relevante og begrænset til det nødvendige

4. Rigtighed Databeskyttelsesforordningen 5

   • Oplysninger skal være korrekte og om nødvendigt ajourførte
   • Der skal tages rimelige skridt for at sikre, at urigtige oplysninger straks slettes eller berigtiges

5. Opbevaringsbegrænsning Databeskyttelsesforordningen 5

   • Oplysninger må ikke opbevares længere end nødvendigt for formålet
   • Personidentifikation skal kun være mulig, så længe det er nødvendigt

6. Integritet og fortrolighed Databeskyttelsesforordningen 5

   • Passende tekniske og organisatoriske foranstaltninger skal sikre personoplysningernes sikkerhed
   • Beskyttelse mod uautoriseret eller ulovlig behandling, hændeligt tab, ødelæggelse eller beskadigelse

7. Ansvarlighed Databeskyttelsesforordningen 5

   • Den dataansvarlige er ansvarlig for at overholde principperne
   • Skal kunne påvise overholdelse gennem dokumentation og passende foranstaltninger

Ifølge MetaCompliance kan manglende overholdelse af disse principper resultere i betydelige bøder - op til 4% af en virksomheds årlige globale omsætning eller 20 millioner euro, alt efter hvad der er højest.

Betydning i praksis

Disse principper stiller krav om, at organisationer:

• Implementerer databeskyttelse gennem design og standardindstillinger
• Foretager risikovurderinger for databehandlingsaktiviteter
• Vedtager interne politikker og gennemfører foranstaltninger, der viser overholdelse af forordningen
• Regelmæssigt gennemgår og opdaterer deres datapraksis

Fra marts 2024 er der i den danske databeskyttelseslov sket en ændring, hvor aldersgrænsen for børns samtykke til informationssamfundstjenester er hævet fra 13 til 15 år, som påpeget af DPO Danmark.

Disse principper suppleres af de rettigheder, GDPR giver enkeltpersoner, herunder retten til indsigt, berigtigelse, sletning og dataportabilitet.

Uddybning af GDPR's grundlæggende principper

GDPR's syv grundlæggende principper danner fundamentet for al behandling af personoplysninger i EU. Lad mig uddybe disse principper og deres praktiske betydning.

Lovlighed, rimelighed og gennemsigtighed

Dette princip har tre hovedelementer:

1. Lovlighed: Enhver behandling skal have et lovligt grundlag som defineret i Databeskyttelsesforordningen artikel 6. De lovlige grundlag omfatter:

   • Samtykke fra den registrerede
   • Opfyldelse af en kontrakt
   • Overholdelse af en retlig forpligtelse
   • Beskyttelse af vitale interesser
   • Udførelse af en opgave i samfundets interesse
   • Forfølgelse af legitime interesser

2. Rimelighed: Behandlingen skal være fair over for de registrerede. Dette betyder, at:

   • Oplysninger ikke må bruges på måder, der har urimelige negative konsekvenser
   • Behandlingen skal være i overensstemmelse med, hvad personer med rimelighed ville forvente

3. Gennemsigtighed: De registrerede skal informeres om behandlingen på en klar og letforståelig måde. Som anført i Databeskyttelsesloven § 1 skal behandlingen være gennemsigtig for den registrerede.

Formålsbegrænsning

Dette princip kræver, at:

• Formålet med dataindsamlingen skal være specifikt, eksplicit og legitimt
• Hvis data senere skal bruges til et nyt formål, skal dette være foreneligt med det oprindelige formål
• Hvis det nye formål ikke er foreneligt, kræves et nyt retsgrundlag

I Retshåndhævelsesloven § 4 understreges det, at "indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, som er omfattet af § 1, stk. 1, og senere behandling må ikke være uforenelig med disse formål."

Dataminimering

Dette princip betyder, at:

• Kun de nødvendige data må indsamles
• "Need to know" frem for "nice to know"
• Dataindsamling skal være proportionel med formålet

Som det fremgår af Databeskyttelsesforordningen noter, skal der implementeres "passende tekniske og organisatoriske foranstaltninger med henblik på at minimere behandlingen af personoplysninger i medfør af proportionalitetsprincippet og nødvendighedsprincippet."

Praktisk implementering

For at efterleve disse principper i praksis, bør organisationer:

1. Implementere databeskyttelse gennem design og standardindstillinger

Dette koncept er direkte nævnt i Retshåndhævelsesloven § 20: "Foranstaltninger efter stk. 1 omfatter databeskyttelse gennem design og gennem standardindstillinger."

2. Udføre konsekvensanalyser vedrørende databeskyttelse (DPIA)

Når en behandling sandsynligvis vil medføre en høj risiko for personers rettigheder, skal der udføres en DPIA. Dette er særligt relevant ved:

• Systematisk og omfattende vurdering af personlige forhold
• Behandling af følsomme oplysninger i stort omfang
• Systematisk overvågning af offentligt tilgængelige områder

3. Udpege en databeskyttelsesrådgiver (DPO)

Som angivet i Databeskyttelsesforordningen noter, skal visse organisationer udpege en databeskyttelsesrådgiver, herunder:

• Offentlige myndigheder
• Organisationer, hvis kerneaktiviteter består af behandling, der kræver regelmæssig og systematisk overvågning
• Organisationer, der behandler følsomme oplysninger i stort omfang

4. Føre fortegnelser over behandlingsaktiviteter

Disse fortegnelser skal indeholde:

• Formål med behandlingen
• Kategorier af registrerede og personoplysninger
• Kategorier af modtagere
• Tidsfrister for sletning
• Tekniske og organisatoriske sikkerhedsforanstaltninger

Særlige hensyn ved videnskabelig forskning

GDPR indeholder særlige bestemmelser for behandling af personoplysninger til videnskabelige forskningsformål. Ifølge Databeskyttelsesforordningen noter:

"Når personoplysninger behandles til videnskabelige forskningsformål, bør denne forordning også finde anvendelse på denne behandling. Behandlingen af personoplysninger til videnskabelige forskningsformål bør med henblik på denne forordning fortolkes bredt og f.eks. omfatte teknologisk udvikling og demonstration, grundforskning, anvendt forskning og privat finansieret forskning."

Forskning skal dog stadig implementere "passende garantier for registreredes rettigheder og frihedsrettigheder" som angivet i Databeskyttelsesforordningen noter, artikel 89.

Konsekvenser ved manglende overholdelse

Manglende overholdelse af GDPR kan resultere i:

• Administrative bøder på op til 20 millioner euro eller 4% af den globale årlige omsætning
• Påbud om at bringe behandlingen i overensstemmelse med forordningen
• Begrænsning eller forbud mod behandling
• Erstatningskrav fra registrerede

Har du interesse i et specifikt aspekt af GDPR, som jeg kan uddybe yderligere?