Lovlig, rettferdig og gjennomsiktig

Behandling av personopplysninger må være lovlig

Det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.

Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for at behandlingen ikke går ut over det rettslige grunnlaget. Hvis behandlingen er basert på samtykke bør det for eksempel etableres tiltak for å kontrollere hva det er gitt samtykke til og settes tekniske sperrer for all behandling som går ut over dette.
  • Sørge for å skille mellom hvilke opplysninger som er nødvendig å behandle for å levere tjenesten, og hvilke andre opplysninger det kan være valgfritt å oppgi for å få tilgang til utvidede tjenester.

Behandling av personopplysninger må skje rettferdig

Behandlingen av personopplysninger skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal dessuten være gjennomsiktig og forståelig for de registrerte, den skal ikke foregå på fordekte eller manipulerende måter. 

Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Tiltak som sørger for å ivareta rettigheter og friheter for de registrerte etter personvernregelverket og andre grunnleggende rettigheter. Eksempler på andre rettigheter er ytringsfrihet, tankefrihet, bevegelsesfrihet, likhet for loven, retten til frihet, samvittighet og religionsfrihet.
  • Tiltak som gjør resultater fra automatiserte avgjørelser forutsigbare og forståelige. For eksempel åpenhet om profilering og hvilke opplysninger som er avgjørende for at enkeltpersoner blir delt inn i ulike kategorier.

Behandling av personopplysninger skal være gjennomsiktig

Behandling av personopplysninger skal være oversiktlig og forutsigbar for den registrerte. Den det behandles opplysninger om skal være informert om dette.

Gjennomsiktighet bidrar til å skape tillit og det setter den registrerte i stand til å bruke sine rettigheter og ivareta sine interesser.

Eksempler på tiltak som kan etableres for å oppnå dette er:

  • Ha funksjonalitet for interaksjon mellom behandlingsansvarlig og den registrerte, slik at det gjøres enkelt for den registrerte å tilegne seg informasjon om hvordan personopplysningene behandles. 
  • Ha funksjonalitet for å gi informasjon om hvilke opplysninger som behandles, hva de brukes til og mulighet for de registrerte til å gjøre seg kjent med sine rettigheter og hvordan de skal utøve disse. 
  • Ha en personvernerklæring på virksomhetens nettsider med generell informasjon om virksomhetenes personvernpolicy.
12