Hvilke oplysninger må behandles og under hvilke betingelser?

Svar

Typen og mængden af oplysninger, en virksomhed/organisation må behandle, afhænger af årsagen til, at de behandles(den juridiske begrundelse), og den tilsigtede anvendelse. Virksomheden/organisationen skal overholde adskillige centrale regler, herunder følgende:

• Personoplysninger skal behandles på en lovlig og gennemsigtig måde, der sikrer rimelighed over for de enkeltpersoner, hvis personoplysninger behandles (»lovlighed, rimelighed og gennemsigtighed«).
• Der skal være udtrykkelige formål med at behandle oplysningerne, og virksomheden/organisationen skal angive disse formål over for enkeltpersonerne, når I indsamler personoplysningerne. En virksomhed/organisation  må ikke bare indsamle oplysninger til ubestemte formål (»formålsbegrænsning«).
• Virksomheden/organisationen  må kun indsamle og behandle de personoplysninger, der er nødvendige for at opfylde dette formål (»dataminimering«).
• Virksomheden/organisationen  skal sikre, at personoplysningerne er nøjagtige og ajourførte i forhold til de formål, hvortil de behandles, og rette dem, hvis de ikke er det (»rigtighed«).
• Virksomheden/organisationen må ikke bruge personoplysningerne til andre formål, som ikke er forenelige med det oprindelige formål.
• Virksomheden/organisationen skal sikre, at personoplysningerne ikke opbevares i et længere tidsrum end nødvendigt i forbindelse med de formål, hvortil de blev indsamlet (»opbevaringsbegrænsning«).

• Virksomheden/organisationen skal implementere passende tekniske og organisatoriske foranstaltninger, som garanterer sikkerheden for personoplysningerne, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende teknologi (»integritet og fortrolighed«).

Eksempel

Jeres virksomheden/organisationen  driver et rejsebureau. Når I får jeres kunders personoplysninger, skal I forklare dem i et tydeligt og almindeligt sprog, hvorfor I skal bruge oplysningerne, hvordan I vil bruge dem, og hvor længe I har til hensigt at gemme dem. Behandlingen skal tilpasses på en sådan måde, at hovedprincipperne for databeskyttelse overholdes.

Referencer

• Artikel 5, stk. 1; betragtning 39
• Artikel 29-gruppens udtalelse nr. 03/2013 om formålsbegrænsning (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)