Lovlig, rettferdig og gjennomsiktig

Behandlingen av personopplysninger må være lovlig.

Dette innebærer at det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for at behandlingen ikke går ut over det rettslige grunnlaget. Hvis behandlingen er basert på samtykke bør det for eksempel etableres tiltak for å kontrollere hva det er gitt samtykke til og settes tekniske sperrer for all behandling som går ut over dette.
  • Sørge for å skille mellom hvilke opplysninger som er nødvendig å behandle for å levere tjenesten, og hvilke andre opplysninger det kan være valgfritt å oppgi for å få tilgang til utvidede tjenester.

Behandlingen av personopplysninger må skje rettferdig

Det betyr blant annet betyr at behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal dessuten være gjennomsiktig og forståelig for de registrerte; den skal ikke foregå på fordekte eller manipulerende måter. 

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for å ivareta rettigheter og friheter for de registrerte etter personvernregelverket og andre grunnleggende rettigheter. Eksempler på andre rettigheter er ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet.
  • Tiltak som gjør resultater fra automatiserte avgjørelser forutsigbare og forståelige. For eksempel åpenhet om profilering og hvilke opplysninger som er avgjørende for at enkeltpersoner blir delt inn i ulike kategorier.

Behandlingen av personopplysninger skal være gjennomsiktig

Det betyr at behandling av personopplysninger skal være oversiktlig og forutsigbar for den registrerte. Den det behandles opplysninger om skal være informert om dette.

Gjennomsiktighet bidrar til å skape tillit og det setter den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

Eksempel på tiltak som kan etableres for å oppnå dette er:

  • Ha funksjonalitet for interaksjon mellom behandlingsansvarlig og den registrerte, slik at det gjøres enkelt for den registrerte å tilegne seg informasjon om hvordan personopplysningene behandles. 
  • Ha funksjonalitet for å gi informasjon om hvilke opplysninger som behandles og hva de brukes til, samt mulighet for de registrerte til å gjøre seg kjent med sine rettigheter og hvordan de skal utøve disse. 
  • Ha en personvernerklæring på virksomhetens nettsider med generell informasjon om virksomhetenes personvernpolicy.