Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

Grunnleggende personvernprinsipper etter nytt regelverk

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper. Alle som behandler personopplysninger må opptre i samsvar med disse prinsippene. Denne veilederen er en utredning av personvernprinsippene slik de er beskrevet i personvernforordningens artikkel 5. Veilederen baserer seg også på artikkel 6 og 9 i forordningen.  

Skriv ut veileder
Grunnleggende personvernprinsipper etter nytt regelverk

Lovlig, rettferdig og gjennomsiktig



Behandlingen av personopplysninger må være lovlig.

Dette innebærer at det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for at behandlingen ikke går ut over det rettslige grunnlaget. Hvis behandlingen er basert på samtykke bør det for eksempel etableres tiltak for å kontrollere hva det er gitt samtykke til og settes tekniske sperrer for all behandling som går ut over dette.
  • Sørge for å skille mellom hvilke opplysninger som er nødvendig å behandle for å levere tjenesten, og hvilke andre opplysninger det kan være valgfritt å oppgi for å få tilgang til utvidede tjenester.

Behandlingen av personopplysninger må skje rettferdig

Det betyr blant annet betyr at behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal dessuten være gjennomsiktig og forståelig for de registrerte; den skal ikke foregå på fordekte eller manipulerende måter. 

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for å ivareta rettigheter og friheter for de registrerte etter personvernregelverket og andre grunnleggende rettigheter. Eksempler på andre rettigheter er ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet.
  • Tiltak som gjør resultater fra automatiserte avgjørelser forutsigbare og forståelige. For eksempel åpenhet om profilering og hvilke opplysninger som er avgjørende for at enkeltpersoner blir delt inn i ulike kategorier.

Behandlingen av personopplysninger skal være gjennomsiktig

Det betyr at behandling av personopplysninger skal være oversiktlig og forutsigbar for den registrerte. Den det behandles opplysninger om skal være informert om dette.

Gjennomsiktighet bidrar til å skape tillit og det setter den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Ha funksjonalitet for interaksjon mellom behandlingsansvarlig og den registrerte, slik at det gjøres enkelt for den registrerte å tilegne seg informasjon om hvordan personopplysningene behandles. 
  • Ha funksjonalitet for å gi informasjon om hvilke opplysninger som behandles og hva de brukes til, samt mulighet for de registrerte til å gjøre seg kjent med sine rettigheter og hvordan de skal utøve disse. 
  • Ha en personvernerklæring på virksomhetens nettsider med generell informasjon om virksomhetenes personvernpolicy.

Formålsbegrensning



Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål

Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme entydige forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer.

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som gjør at det eksplisitt blir tatt stilling til hva slags prosessering av personopplysninger som er innenfor de angitte formål, og hva som ikke er det. Etablering av tekniske sperrer mot prosessering som ikke er innenfor formålet, for eksempel utlevering.
  • Etabler tiltak for å sikre at det som standard kun behandles opplysninger til det som er forutsatt fra starten. 
  • Tiltak for å sikre at det som standard bare er personopplysninger som er nødvendig for hvert spesifikke formål med behandlingen, som behandles.

Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige

Hvis personopplysninger skal gjenbrukes må behandlingen enten være lovfestet eller det må innhentes nytt samtykke. Sentrale momenter i vurderingen av om en behandling er uforenelig med det opprinnelige formål er: 

  • om det er forbindelse mellom opprinnelig og nytt formål
  • i hvilken sammenheng opplysningene er samlet inn
  • personopplysningenes art, for eksempel om det behandles sensitive personopplysninger
  • mulige konsekvenser av den tiltenkte viderebehandlingen
  • om opplysningene blir beskyttet ved hjelp av for eksempel kryptering eller pseudonymisering

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for å identifisere gjenbruk av personopplysninger som ikke er forutsatt fra innsamlingstidspunktet.
  • Tiltak for å gjøre en vurdering av om gjenbruksformål er uforenelig med opprinnelige formål.
  • Tiltak for å stoppe behandling av personopplysninger som har formål som er uforenelige med opprinnelig formål.

Gjenbruk av personopplysninger til arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller til statistiske formål er ikke uforenelig med opprinnelig formål dersom behandlingen er underlagt nødvendige garantier.

Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Tekniske og organisatoriske tiltak for å sikre at det ikke behandles mer opplysninger enn nødvendig (dataminimering).
  • Tekniske tiltak for å gjennomføre pseudonymisering når formålet kan oppfylles på denne måten.
  • Tekniske tiltak for å gjennomføre anonymisering når formålet kan oppfylles på denne måten.

Dataminimering

Dette prinsippet innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere innsamlingsformålet.



Dersom identitetsopplysninger eller personopplysninger ikke er nødvendige for å oppnå formålet, taler dataminimalitetsprinsippet i retning av å ikke samle dem inn. Dataminimalitetsprinsippet kan også være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett.

Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Tiltak for å ta stilling til om formålet med behandlingen med rimelighet kan oppfylles på annen måte enn å behandle personopplysninger. I så fall skal det ikke innhentes personopplysninger. 
  • Tiltak for å sikre at det kun samles inn relevante og nødvendige personopplysninger. For eksempel kan en kart-app. som viser veien fra A til B ha behov for å vite hvor den registrerte befinner seg når appen er i bruk, men den trenger ikke å vite hvem som bruker appen eller ha tilgang til kontakter eller bilder lagret på telefonen.
  • Tiltak for å sikre at det ikke innhentes personopplysninger om flere personer enn nødvendig. Dette kan være relevant for forskning hvor det må tas stilling til hva som er nødvendig antall deltakere, utvalg/kontrollutvalg for å sikre god nok representasjon.

Riktighet

Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig. 



Dette betyr at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Tiltak for å sørge for at personopplysningene er korrekte og oppdaterte. For eksempel kan løsningen regelmessig varsle brukere om at de må kontrollere sine personopplysninger. Mange banker gjør dette ved innlogging til for eksempel nettbank.
  • Tiltak for å sikre at personopplysninger som er uriktige med hensyn til formålene de behandles for, straks slettes eller korrigeres.
  • Dersom back-up brukes for gjenoppretting av data må også disse gjennomgås med hensyn til nødvendig korrigering.

Lagringsbegrensning

Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.



Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Tiltak for å sikre at tidsrommet for lagring av personopplysninger ikke er lengre enn nødvendig. Den behandlingsansvarlige bør innføre tidsfrister for sletting eller periodisk gjennomgang for å sikre at personopplysninger ikke oppbevares lengre enn nødvendig.

Integritet og fortrolighet

Personopplysninger skal behandles slik at opplysningenes integritet og fortrolighet beskyttes.



Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Behandlingen skal ha tiltak mot uautorisert utlevering og tilgang til personopplysninger.
  • Behandlingen skal ha tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
  • Behandlingen skal som standard sørge for at personopplysninger er tilgjengelige for autoriserte personer når det er nødvendig.
  • Behandlingen skal som standard sikre at personopplysninger ikke gjøres tilgjengelig for et ubegrenset antall mennesker uten den berørte personens medvirkning.
  • Behandlingen skal ha tiltak for å spore endringer som gjøres i systemet og for å kunne håndtere sikkerhetsbrudd
  • Behandlingen skal ha tiltak for å sikre at systemene som behandler personopplysninger, er robuste mot for eksempel sårbarheter, angrep, og uhell.

Se for øvrig sjekkliste for «Krav» i veilederen "Programvare med innebygd personvern"

Ansvarlighet

Prinsippet om ansvarlighet understreker den behandlingsansvarliges ansvar for å opptre i samsvar med reglene for behandling av personopplysninger. 



Det er ikke nok å bare ha ansvaret – man må vise at man tar ansvaret. 

Den behandlingsansvarlige må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Virksomheten må også kunne vise at den faktisk opptrer i samsvar med reglene.