Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper i europarådskonvensjonen, retningslinjer fra OECD og EUs personverndirektiv. Prinsippene er også i samsvar med de nye personvernreglene som trer i kraft i 2018.
Kjernen i prinsippene er at alle har rett til å bestemme over opplysninger om seg selv. Her er en kort gjennomgang:
Lovlig, rettferdig og gjennomsiktig
At behandlingen av personopplysninger må være lovlig, innebærer først og fremst at det må finnes et rettslig grunnlag for en planlagt behandling av personopplysninger. Personvernforordningen har en liste over rettslige grunnlag, og minst ett av disse må være oppfylt. Prinsippet om lovlighet kan også sies å inkludere alle de øvrige prinsippene og reglene for behandling av personopplysninger som en behandlingsansvarlig må oppfylle.
At behandlingen av personopplysninger må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelige forventninger. Behandlingen skal være forståelig for de registrerte og ikke foregå på skjulte eller manipulerende måter.
Gjennomsiktig betyr at bruken av personopplysninger skal være oversiktlig og forutsigbar for den opplysningene gjelder. Gjennomsiktighet bidrar til å skape tillit og setter enkeltpersonen i stand til å bruke sine rettigheter og ivareta sine interesser.
Formålsbegrensning
Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og være forklart på en måte som gjør at alle berørte har samme forståelse av hva opplysningene skal brukes til.
For at formålet skal være legitimt må det i tillegg ha et rettslig grunnlag som er i samsvar med etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.
Dataminimering
Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysningene ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn.
Riktighet
Personopplysninger som behandles skal være korrekte, og skal om nødvendig oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks slette eller rette personopplysninger som er uriktige.
Lagringsbegrensning
Prinsippet om lagringsbegrensning innebærer at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for.
Integritet, konfidensialitet og tilgjengelighet
Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Dette betyr at den behandlingsansvarlige må sørge for tiltak mot utilsiktet og ulovlig ødeleggelse, tap og endringer av personopplysninger.
Ansvarlighet
Prinsippet om ansvarlighet understreker ansvaret for å opptre i samsvar med prinsippene for behandling av personopplysninger og for å ivareta de registrertes rettigheter og friheter. Dette ansvaret ligger på alle virksomheter som behandler personopplysninger. Det er ikke nok å bare ha ansvar – man må vise at man tar ansvar.
Dette betyr at virksomheten må kunne dokumentere at den har gjennomført tiltak for å etterleve personvernforordningen. Virksomheten må opptre proaktivt og etablere nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid.